俄罗斯APT组织对Google账发大规模网络钓鱼攻击

  戴尔的安全威胁应对小组(CTU)检测到一个巨大的针对美国、欧盟、俄罗斯和前苏联国家的军事人员、政府官员、记者和政治活动家的谷歌账户的网络钓鱼活动。

  安全厂商在调查了臭名昭著的民主党全国委员会服务器上的黑客攻击之后发现了这个钓鱼活动。

  就像之前发现CrowdStrike和Fidelis一样,安全小组(SecureWorks)发现的证据表明此次黑客攻击活动指向威胁小组4127(TG – 4127),一个跟俄罗斯相关的网络间谍组织,也被称为Fancy Bear,Sofacy,APT28,Sednit, Pawn Storm和Strontium。

  俄罗斯APT组织倾向于收集Google帐户凭据

  SecureWorks专家说与用来攻击民主党全国委员会人员相同类型的网络钓鱼电子邮件也被用于发生在2015年3月和9月之间的大规模活动中。

  钓鱼运动使用包含Bitly链接的网络钓鱼电子邮件。这些链接重定向用户到accoounts-google.com域(注意额外的“o”)。每一个Bit.ly链接最终都被解压到一个唯一的包含一个长base64编码值的accoounts-google.com URL。TG C 4127组织的黑客使用这些值来在假的谷歌登录页面预先填充目标的谷歌电子邮件地址,然后要求用户输入密码

  活动已经攻击了1881个谷歌账户

  SecureWorks说,他们已经发现4396个独特的作为此次活动的一部分的Bitly URL。基于这些Bitly链接解压得到的URL和他们预先填写在钓鱼页面的电子邮件地址,安全专家说TG C 4127组织已经攻破了1881个谷歌账户。

  SecureWorks说,用户访问了这4396个Bit.ly链接中的59%。其中,这59%被访问的链接中有35%只被访问了一次,这意味着他们很可能输入了他们的帐户密码,这个攻击很可能成功了。其余的黑客曾多次试图用随后的带有新的Bitly的链接的网络钓鱼邮件来攻击这些目标。

  “一旦这些账户被针对,CTU人员确定60%的收件人会点击恶意Bitly链接。如果这些账户被针对了不止一次,57%的收件人会重复尝试点击恶意链接,”SecureWorks专家写道。“这可能导致黑客会做出一些额外的尝试,如果最初的网络钓鱼电子邮件没有成功。”

俄罗斯APT组织对Google账发大规模网络钓鱼攻击

  至于目标,统计数据显示,64%的电子邮件地址属于政府人员、军人、政府供应链和航空航天研究人员。其余的属于作者、记者、非政府组织和政治活动家。

  收到钓鱼邮件最多的电子邮件地址属于乌克兰总理的发言人。大多数的目标与俄罗斯军事介入乌克兰东部有关,包括参与者,记者或者政治活动家。

  一些北约人员也被作为攻击目标,以及一些受俄罗斯影响的人,位于前苏联附近的国家和位于俄罗斯边境的国家。负责报导俄罗斯政治的记者、IT和安全公司的员工,研究出版商甚至喜欢发博客的军人的配偶都在该集团的监视下。

  这个大规模的活动显示了该组织对其攻击目标具有很大的耐心,有时会通过反复攻击直到受害者被其陷阱欺骗。

俄罗斯APT组织对Google账发大规模网络钓鱼攻击

发表评论