英国：俄伊黑客攻击关键行业

NCSC表示，“攻击并非针对公众而是特定行业目标，包括学术组织、国防行业、政府机构、非政府组织、智库以及政治家、记者和活动家。”

该机构认为攻击活动由SEABORGIUM和APT 42组织发动。除了作案方式相似外，并无证据表明它们之间存在协作关系。攻击活动是典型的鱼叉式钓鱼攻击活动，威胁行动者向目标发送定制信息，同时利用足够时间研究其兴趣利益并识别目标的社会和专业圈子。

最初的接头人看似无恶意，试图获得目标的信任并持续数月时间，之后才进入利用阶段。在利用阶段，他们以恶意链接的形式窃取凭据之后实施攻陷。为了维持这种计谋，据称攻击者在社交媒体平台上创建了虚假资料并假冒为驻场专家和记者，诱骗受害者打开这些链接。随后攻击者利用被盗凭据登录目标的邮件账户并访问敏感信息，并且设立邮件转发规则，维持对受害者通信内容的持续可见性。

俄罗斯国家黑客组织 SEABORGIUM 长久以来就一直设置虚假登录页面，假冒合法国防企业和核研究实验室，发动凭据盗取攻击。APT42组织被指是伊朗革命卫队 (IGRC)的间谍机构，和PHOSPHORUS组织之间存在相似之处，也是更大组织Charming Kitten的组成部分。APT42组织和 SEABORGIUM组织一样，都伪装成记者、研究机构和智库，使用不断演进的工具和技术武器库，根据IRGC排列的优先级攻击目标。Proofpoint 公司在2022年12月 发布报告称，APT42组织“使用受陷账户、恶意软件和对抗诱饵攻击目标。这些目标包括医药研究员、房产经纪人、旅行社等”，并指出它与“预期的钓鱼活动”并不相同。

另外，这些攻击活动引人注目的一个地方是，它们使用了目标的个人邮件地址，可能是为了规避企业网络中的安全控制。NCSC的运营负责人 Paul Chichester 指出，“位于俄罗斯和伊朗的威胁行动者们发动的这些攻击活动仍然在继续追寻目标，试图窃取在线凭据并攻陷潜在的敏感系统。”

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~