趋势科技的安全研究人员表示, 与俄罗斯有关的网络间谍组织 Pawn Storm 一直在利用窃取的电子邮件帐户向潜在受害者发送钓鱼邮件.
Pawn Storm 至少从 2004 年开始活跃, 也被称为 APT28,Sednit,Fancy Bear 和 Strontium. 据传是由 俄罗斯 GRU 情报机构 赞助, 曾在 在 2016 年美国 大选之前 策划了对 乌克兰 , 北约 国家和 DNC 的 攻击活动.
多年以来, Pawn Storm 一直依靠网络钓鱼来获取感兴趣的系统, 但在 2019 年 5 月, 趋势科技观察到他们的策略, 技术和程序 (TTP) 发生了转变. 该组织开始窃取高知名度电子邮件帐户来发送网络钓鱼电子邮件.
该计划在 2019 年和 2020 年都付诸实践. 其中属于中东国防公司的电子邮件帐户被滥用最多. 而在运输, 公用事业和政府部门也观察到了其他邮件被窃取的受害者.
"目前还不清楚为什么中东地区的国防公司还会转而使用泄露的电子邮件账户. 但 Pawn Storm 可能试图逃避垃圾邮件过滤, 代价则是让一些感染的邮件账户被安全公司知道. 但是, 我们又没有注意到该组织的垃圾邮件活动的成功收件箱交付有重大变化, 因此, 还是很难理解."
去年, 该小组还对全球的电子邮件服务器和 Microsoft Exchange Autodiscover 服务器进行了探测, 主要针对 TCP 端口 443,IMAP 端口 143 和 993,POP3 端口 110 和 995, 以及 SMTP 端口 465 和 587. 这一行为的目的可能是寻找容易受攻击的系统, 以获取强力凭证, 泄露电子邮件并发送垃圾邮件.
2019 年 8 月至 11 月之间, 该小组主要针对武装部队, 国防公司, 政府, 律师事务所, 政党和大学, 以及法国和英国的私立学校以及德国的幼儿园.
2019 年 11 月至 2019 年 12 月之间, 攻击者使用相同的 IP 地址托管网站并扫描具有暴露的 445 和 1433 端口的系统, 可能是为了寻找运行 Microsoft SQL Server 和目录服务的易受攻击的服务器.
安全研究人员指出, 在 2017 年至 2019 年期间, Pawn Storm 在其服务器上发起了多个凭据网络钓鱼活动, 包括针对美国, 俄罗斯和伊朗的 web 邮件提供商的垃圾邮件运动.
该组织拥有大量资源, 可以让他们进行漫长的战役. 他们的攻击范围从复杂的 DNS 攻击到破坏 DNS 设置, 禁止操作到创建水坑和利用 0day 漏洞. 正如他们最近的活动所证明的那样, 我们预计会有更多针对不依赖恶意软件的 webmail 和云服务的直接攻击.
来源: http://www.tuicool.com/articles/aIvENbz