APT28黑客攻击北约组织窃取敏感数据

俄罗斯背景的 APT28（被广泛称为“Fancy Bear”）黑客组织加强了针对北约的网络间谍活动。

该组织自 2007 年以来一直活跃，针对美国、英国、德国、加拿大、波兰、乌克兰和其他北约成员国的关键基础设施、政府实体和物流公司发动一系列复杂的攻击。

根据美国网络安全和基础设施安全局 (CISA) 和英国国家网络安全中心 (NCSC) 的联合报告，2023 年至 2025 年间报告了多起企图窃取凭证和网络钓鱼活动，凸显了此类行动的持久性和战略性。

其主要目的似乎是窃取敏感数据，并有可能在未来地缘政治紧张时期中断供应链和业务连续性。

APT28 的方法将隐秘性与技术实力相结合，利用鱼叉式网络钓鱼、密码喷洒以及利用已知漏洞，例如 Microsoft Outlook 中的 CVE-2023-23397（权限提升漏洞）和 Cisco ASA/FTD 设备中的 CVE-2023-20273（允许远程代码执行）。

他们的攻击通常始于通过暴力破解方法获取的泄露凭证或精心制作的网络钓鱼电子邮件，目标是 Outlook Web Access (OWA) 和 VPN 端点等网络邮件服务。

一旦进入系统，APT28 就会使用 PowerShell 和 WMIC 等离地二进制文件 ( LOLBins ) 来执行，同时还会使用计划任务和组策略对象 (GPO) 操作等持久性机制。

为了逃避检测，他们利用匿名代理和混淆的域名基础设施，这使得归因和威胁搜寻对防御者来说成为一个重大挑战。

此次行动主要以间谍活动为重点，在关键系统中的深度存在暗示其潜在的破坏能力。除了数据盗窃之外，在这样的基础设施中立足还可以使 GRU 操纵或停止运营，对国家安全和经济稳定构成直接威胁。

技术报告：

https://socradar.io/gru-backed-apt28-cyber-war-on-nato/

新闻链接：

https://gbhackers.com/russian-apt28-hackers-attacking-nato-aligned-organizations/