法国家网络安全局确认马克龙团队遭到攻击 趋势科技说是APT28干的 APT28已成共用账号

APT28好神奇, 之前已经看到过美国威胁情报公司Recorded Future给出俄罗斯APT组织分析报告 ,美国伯灵顿电力公司遭到入侵 称捕获俄罗斯“灰熊草原”代码X-Agent间谍软件变种正在攻击Mac系统 据称与APT28有关,今天又听到APT28现在把目光投在的法国总统候选人埃马纽埃尔·马克龙的竞选活动上。

趋势科技说APT28正在攻击法国总统竞选候选人马纽埃尔·马克龙

昨天,丹麦政府官方称令人厌恶的APT28组织(也称魔幻熊(Fancy Bear)、兵风暴(Pawn Storm)、Sednit、Sofacy和Strontium)针对国防部的邮件账号发动了网络攻击。现在怀疑DNS黑客又盯上了法国总统候选人埃马纽埃尔·马克龙。

俄罗斯网络间谍组织APT28针对法国总统候选人埃马纽埃尔·马克龙的竞选活动发动了鱼叉式钓鱼攻击。APT28组织通过伪造合法URL并利用称之为tabnabbing的攻击技术对埃马纽埃尔·马克龙团队发起攻击。

安全专家认为APT28是服务于俄罗斯军事情报机构GRU的网络黑客组织,参与了一些列针对引人注目的目标(包括美国民主党全国委员会(DNC)的活动和德国联邦议院(Bundestag))的知名网络攻击。

tabnabbing攻击是什么?

趋势科技分析说,

“Tabnabbing最早由研究员Aza Raskin提出。他对这种攻击的描述如下:浏览器中打开的页签的URL更改为了钓鱼网站URL,简单的JavaScript程序检测到用户已经被带至另一个页签或有段时间没有进行页面操作了。攻击目标将当前的钓鱼网站误认为正在访问的互联网服务站点,可能会在钓鱼站点重新输入其登录凭证。”

tabnabbing技术用于将浏览器中当前不活跃页面替换成非法站点,而受害者毫不知情以为自己仍在访问合法站点,在攻击者的诱惑下提供敏感信息。

“Pawn Storm目前正在使用tabnabbing的变种。在这种攻击场景下,攻击目标会收到一封恶意邮件,而该邮件本应来自他所关注网站的邮件,比如他可能参加的会议或订阅的新闻网站。该邮件中包含一个看似合法的URL链接。

当攻击目标看完邮件单击该链接后,会打开一个新页签。该新页面自攻击者控制的站点跳转后,显示会议或新闻提供商的合法网站。攻击目标可能会在合法网站上浏览一段时间。

他可能根本不会意识到就在页面发生跳转前,一个简单的脚本已在运行,将原来的Webmail页面替换为了钓鱼网站。当攻击目标阅读完合法站点上的新闻或会议信息时,又返回到了他的Webmail页面。他收到了会话超时提醒,网站提示他需要重新登录。这时,他可能会重新输入密码,也就将自己的登录凭证提供了攻击者。”

法国国家网络安全局确认了马克龙团队遭受了网络攻击

路透社表示,法国国家网络安全局(ANSSI)确认了马克龙团队遭受了网络攻击,但并未透露攻击源。《华尔街日报》报道说,马克龙团队的相关人员确认了该团队收到了钓鱼,称攻击并未成功。

“马克龙的竞选活动的数字方面负责人Mounir Mahjoubi确认了这一入侵企图,说数个团队成员收到了恶意邮件,打开了假冒网站,不过,这些钓鱼邮件很快被发现并阻断了,不大可能有漏网之鱼。

Mounir Mahjoubi说道,

“我们无法保证阻断了所有的钓鱼邮件”

“但在我们发现了这一入侵企图后,就及时采取了措施阻断了访问。”

法国政治生活革新协会(En Marche!)的代表指控俄罗斯国家级别的黑客组织干预法国大选,试图协助亲俄派候选人上台。

《华尔街日报》报道说,

“公共互联网记录表示,有人用Johny Pinch这个名字和虚假的巴黎街道地址注册了onedrive-en-marche.fr域名。而且,记录还表明有人在4月12日也利用这同一信息注册了mail-en-marche.fr。

趋势科技的Hacquebord说,

‘这些地址均来自Pawn Storm关联的IP地址块中。’”

趋势科技表示,黑客在3月中旬建立了En Marche!钓鱼网站,并且研究员还发现了明显是针对德国的康拉德-阿登纳政治基金会(KAS)的钓鱼域名。

2016年10月,TV5Monde总裁告诉BBC广播公司,他们的电视台几乎被俄罗斯的APT28组织发动的定向网络攻击摧毁。

发表评论