据威胁情报公司Recorded Future披露,与俄罗斯军方情报机构(GRU)关联的著名黑客组织APT28,近期发起了一项新的凭证窃取活动。此次攻击的目标高度聚焦,主要针对与能源研究、国防合作及政府通信相关的各类关键组织。
APT28(又名Fancy Bear、Forest Blizzard)至少自2004年起便开始活跃,长期以攻击美国、欧洲的政府、军事、能源及媒体实体而闻名。其攻击手法持续演变,自2023年9月以来便频繁利用邮件服务器发起攻击行动。
在近期的一系列身份信息窃取活动中,APT28将矛头对准了与土耳其能源和核能研究机构、欧洲智库,以及北马其顿和乌兹别克斯坦相关实体有联系的人员。攻击者精心搭建了伪装成微软Outlook Web Access(OWA)、谷歌以及Sophos VPN官方门户的钓鱼页面。一旦受害者在这些页面上输入凭证,页面会将其自动重定向至对应的合法域名,以此巧妙掩盖攻击痕迹,降低受害者的警觉性。
分析指出,这些网络钓鱼活动高度依赖免费的托管和隧道服务,例如Webhook[.]site、InfinityFree、Byet Internet Services以及Ngrok。攻击者利用这些服务来完成钓鱼页面托管、用户数据捕获及重定向管理等核心攻击环节,这种手法在安全/渗透/逆向领域值得深入研究。
以2025年2月的一次攻击为例,APT28部署了伪造的微软OWA钓鱼页面,并使用ShortURL短链接服务进行初次重定向。整个攻击流程设计精巧:首先,一个基于HTML的webhook会在受害者浏览器中加载一份PDF诱饵文档,两秒后,再将受害者重定向至第二个webhook,该webhook则托管着伪造的OWA登录页面。页面中的HTML元素经过特殊设计,可通过JavaScript函数捕获受害者输入的凭证信息,并将其发送至另一个带有隐藏表单元素的webhook。最后,受害者会被无缝重定向至一份合法的PDF文档,至此,完整的钓鱼流程结束。
同年7月,该组织再度出手,部署了包含土耳其语文本的伪造OWA登录门户,专门针对土耳其的科学家和研究人员。此次攻击沿用了类似的PDF诱饵策略及凭证窃取机制,显示出攻击模式的延续性。
除了针对OWA,APT28的钓鱼触角也伸向了其他平台。今年6月,该组织在InfinityFree提供的基础设施上部署了伪造的Sophos VPN密码重置页面。受害者提交凭证后,会被重定向至某个欧盟智库的合法网站。9月,安全研究人员发现该组织在InfinityFree上托管了两个伪造的OWA“密码过期”提示页面,其使用的JavaScript代码与之前的Sophos VPN钓鱼页面存在相似性。这两个页面分别将受害者重定向至北马其顿某军事组织以及乌兹别克斯坦某IT集成商的合法登录页面。
今年4月,Recorded Future还发现了一个伪造的葡萄牙语谷歌密码重置页面,该页面托管在Byet Internet Services提供的免费域名上。页面内置的HTML表单会收集用户凭证,并发送至托管在ngrok-free[.]app上的地址。攻击者滥用了Ngrok的“免费服务”——该服务允许用户将内网服务器通过代理暴露在公网,且无需修改防火墙规则——这为攻击者的隐蔽行动提供了极大便利。此外,另一个同样使用葡萄牙语、通过Ngrok URL捕获凭证的谷歌钓鱼页面,被发现托管在与InfinityFree关联的域名上。
Recorded Future总结道,APT28组织展现出的基础设施快速调整能力及钓鱼页面的重新包装能力,表明其未来将持续滥用各类免费托管、隧道及链接缩短服务。这种方式不仅能有效降低其攻击运营成本,还能更好地掩盖攻击来源,增加了防御和追踪的难度。相关领域的组织机构需对此类威胁保持高度警惕。 | 
发表于 2026-1-15 07:08:18
|
查看: 67|
回复: 0
