俄罗斯黑客冒充美国中央情报局窃取乌克兰国防情报

Silent Push 的网络安全研究人员发现了一次复杂的网络钓鱼行动，可能是由俄罗斯情报机构策划的。

该活动于 2024 年初开始，冒充了中央情报局、俄罗斯志愿军 (RVC)、自由军团和乌克兰运营的“我想活下去”热线等各种组织。

威胁行为者部署了多个网络钓鱼域集群，每个集群都旨在模仿合法网站并从毫无戒心的访问者那里提取敏感信息。

值得注意的域名包括 ciagov[.]icu、rusvolcorps[.]net 和 hochuzhitlife[.]com，全部托管在 Nybula LLC（ASN 401116）提供的防弹基础设施上。

CIA 钓鱼页面 ciagov[.]icu 生成了一个可疑的网络表单

不断发展的战术和基础设施

此次攻击活动的复杂性体现在其所使用的不断演变的策略上。研究人员观察到威胁行为者利用 Google 表单收集受害者的个人数据，这种方法与一些被冒充的组织使用的合法招聘流程相似。

攻击者还采用了 SEO 操纵技术，创建欺骗性的搜索结果，从而将用户引导至钓鱼页面。

基础设施分析揭示了网络钓鱼集群之间的共同特征，包括使用常见的 WHOIS 组织名称“Semen Gerda”以及通过 NiceNIC 注册商进行注册。

这种一致性表明一个拥有大量资源的单一威胁行为者团体进行了协调一致的努力。

Google 表单要求网站访问者提供个人信息

对网络战和情报行动的影响

报告称，此次活动凸显了俄乌冲突的持续数字化层面。

通过瞄准亲乌克兰的俄罗斯人和潜在的线人，袭击者的目的是收集情报并潜在地识别俄罗斯境内的异见人士。

冒充中央情报局为这次行动增添了国际元素，可能意在制造混乱或收集有关该地区西方情报活动的信息。

网络安全专家警告称，此类复杂的网络钓鱼活动对卷入冲突的个人和组织的运营安全构成了重大威胁。

使用看似合法的网站和表格使得目标越来越难以区分真正的招聘行动和恶意的数据收集企图。

随着冲突的持续，这些网络战术可能会进一步发展，需要潜在目标提高警惕并改善数字安全习惯。

建议参与敏感操作的组织实施强有力的验证流程，并教育其联系人有关网络钓鱼和社会工程攻击的风险。

报道：

https://www.silentpush.com/blog/russian-intelligence-phishing/