俄国APT28组织使用Headlace恶意软体进行网络攻击

重要要点

• APT28（亦称Fancy Bear等）利用Headlace资讯窃取恶意软体针对欧洲网络展开多阶段间谍活动。
• 仅通过APT28的检查的组织将被注入恶意Windows BAT脚本，实现shell命令执行。
• 受害者主要包括乌克兰国防部、亚美尼亚经济社会发展中心及欧洲铁路系统。
• 从2022年以来，APT28的攻击主要针对乌克兰地区。

根据的报导，俄国国家支持的APT28威胁行动组织在2023年4月至12月期间，针对欧洲网络发起了以Headlace资讯窃取恶意软体和凭证收集网站为载体的攻击。这一组织还被称为FancyBear、Sednit、BlueDelta、Sofacy Group、STRONTIUM和Pawn Storm。

根据Recorded Future的Insikt Group的报告，那些通过APT28的沙盒、操作系统和目标国检查的组织将遭受一个包含恶意WindowsBAT脚本的注入，这使得攻击者能够执行shell命令。

此外，乌克兰国防部、亚美尼亚经济社会发展中心以及欧洲的铁路系统成为了凭证收集网站的主要目标，这些网站具备绕过双因素身份认证功能。进一步的分析显示，自2022年以来，APT28发起的大多数Headlace和凭证收集攻击主要针对乌克兰。

研究人员指出：“土耳其虽然看起来是一个出人意料的目标（占比10%），但必须注意的是，这仅仅是因为Headlace的地理围栏技术所致，而不像乌克兰、波兰和亚美尼亚，这些地区同时受到Headlace地理围栏和凭证窃取的双重攻击。”

透过这些报告，我们可以看出APT28对欧洲及周边地区的攻击意图，特别是这些针对重要机构和基础设施的威胁，对资讯安全领域敲响了警钟。