俄羅斯黑客被指攻擊美國軍隊武器和硬件供應商
責編:gltian |2022-12-09 15:37:00Recorded Future 發布報道稱,和攻擊基礎設施相關聯的俄羅斯國家黑客組織,欺騙美國合法軍事武器和硬件供應商Global Ordnance的微軟登錄頁面。
該報告將該基礎設施歸咎于被稱為 TAG-53的威脅活動組織名下,該組織更多地被安全社區熟知為 Blue Callisto、Callisto、COLDRIVER、SEABORGIUM和TA446。報告指出,“從對TAG-53攻擊活動的歷史公開報道來看,該憑據收割活動部分是通過釣魚攻擊啟用的。”
報告稱發現了38個域名,其中9個中包含對多家企業的引用如UMO Poland、Sangrail LTD、DTGruelle、Blue Sky Network、國際司法和問責委員會 (CIJA)以及俄羅斯內政部。這些主題域名可能是攻擊者試圖偽裝成合法實體發動社工攻擊所用。報告提到,“值得注意的是,TAG-53使用特定定制的基礎設施的趨勢已經形成,說明攻擊者在戰略活動中長期使用類似技術。”
四個月前,微軟曾披露稱采取多種措施阻斷該黑客組織實施的釣魚攻擊和憑據竊取攻擊,該組織的目標是攻陷位于英國和美國的國防和情報咨詢企業以及非政府組織、智庫和高等教育實體。企業安全公司 Proofpoint 也曾對該組織進行過分析,它利用復雜的模擬技術發送惡意釣魚鏈接。
另外,該黑客組織被指對烏克蘭國防部發動魚叉式釣魚攻擊,正好與3月初爆發的俄烏戰爭巧合。
SEKOIA.IO 在一篇write-up文章中表示,共發現87個域名,其中2個域名與私營企業 Emcompass 和 BotGuard 攻擊有關,另外四個涉及烏克蘭危機緩解的非政府組織也是受攻擊目標。其中一種攻擊涉及該非政府組織之間的郵件通信,攻擊者欺騙模擬可信來源的郵件地址,之后發送包含釣魚鏈接的惡意PDF,試圖躲避郵件網關的檢測。該公司指出,“郵件通信表明攻擊者并未在第一份郵件中包含惡意payload,不過是等待回復建立連接并在發送payload之前避免被懷疑。”使用書寫錯誤的俄羅斯部門域名進一步證明了微軟對SEABORGIUM 組織攻擊前情報官員、俄羅斯問題專家和俄羅斯海外公民的評估。
SEKOIA.IO 公司還將對CIJA的攻擊當做情報收集任務,旨在積累“和戰爭犯罪相關的證據和/或國際司法程序,很可能是為了在未來的訴訟中預測和構建反敘事。”
威脅情報公司 Lupovis 披露稱,俄羅斯黑客組織已攻陷位于英國、美國、法國、巴西、南非多家企業的IT環境,并且“重新路由網絡”,攻擊烏克蘭。微軟也提醒稱,“俄羅斯可能會在今年冬天攻擊數字化領域”,指出俄羅斯采用“多種混合技術方法”攻擊旨在攻擊民用基礎設施以及旨在增加歐洲紛爭的影響行動。
原文鏈接
https://thehackernews.com/2022/12/russian-hackers-spotted-targeting-us.html
來源:代碼衛士