俄罗斯APT29发动大规模鱼叉式网络钓鱼行动

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

趋势科技发出警告，由俄罗斯政府支持的威胁组织“Earth Koshchei”（也被称为“APT29”或“舒适熊”）正在利用鱼叉式网络钓鱼邮件，诱使受害者连接到恶意的远程桌面协议（RDP）中继。

行动高峰与目标范围

趋势科技解释道：“Earth Koshchei的恶意RDP行动在10月22日达到高峰，当日他们向各国政府、武装部队、智囊团、学术研究人员以及乌克兰相关目标发送了鱼叉式网络钓鱼邮件。这些邮件旨在欺骗收件人使用邮件中附带的恶意RDP配置文件。一旦打开，该RDP配置文件会指示目标计算机尝试通过Earth Koshchei设置的193个RDP中继之一连接到国外的RDP服务器。”

趋势科技强调，此次鱼叉式网络钓鱼行动的规模远超其他APT组织发起的类似行动。研究人员写道：“这次RDP行动的规模极为庞大：我们在一天内看到约200个备受瞩目的目标，这一数量大致相当于另一个APT组织‘pawn Storm’数周内针对的目标数量。这并非Earth Koshchei首次与大规模鱼叉式网络钓鱼行动相关联：2021年5月，他们也曾向数千个个人账户发送鱼叉式网络钓鱼邮件。”

行动筹备与策略

为筹备此次行动，该威胁组织注册了200多个网络钓鱼域名，并通过合法但已被入侵的电子邮件服务器发送鱼叉式网络钓鱼邮件。

研究人员写道：“2024年8月注册的域名显示其目标指向欧洲、美国、日本、乌克兰和澳大利亚的政府及军方。当月月底，注册的域名看似与云服务提供商和IT公司相关。随后在2024年9月，出现了一批基于多个智囊团和非营利组织的域名。此外，还有一些与Zoom、Google Meet和Microsoft Teams等在线虚拟平台相关的域名。”

KnowBe4助力您的员工每日做出更明智的安全决策。全球超过70,000家组织信赖KnowBe4平台，以强化其安全文化并降低人为风险。趋势科技持续追踪报道相关动态。 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯APT29发动大规模鱼叉式网络钓鱼行动