俄罗斯APT利用廉价宝马广告，瞄准驻乌克兰外交官

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

2023年7月13日 —— 俄罗斯黑客再度展现其网络间谍的高超手段，这一次，他们通过一个虚假的二手宝马广告，成功将目标锁定为驻乌克兰的多国外交官。

根据网络安全公司Palo Alto Networks旗下Unit 42研究部门发布的最新报告，这次精心策划的网络攻击由俄罗斯外情局（SVR）背后的APT29组织，俗称Cozy Bear，发起，目标直指乌克兰首都基辅的多家外国大使馆。

黑客如何利用“廉价宝马”广告发动攻击？

这场攻击始于一起看似“正常”的事件。2023年4月中旬，波兰外交部的一名外交官向乌克兰的多家大使馆发送了一则关于出售一辆二手宝马5系轿车的真实广告。然而，这则合法的广告被俄罗斯黑客截获，随后嵌入恶意软件，并以更低的价格再次发送给驻基辅的其他外国外交官们。

APT29以广告中“7,500欧元”的低价诱使目标受害者点击广告中伪装的宝马相册链接，而一旦受害者试图查看这些照片，嵌入的恶意软件就会立即感染其设备，使黑客能够远程控制并窃取重要信息。

报告指出，这次行动的规模之大，超出了以往APT组织通常狭窄且隐蔽的网络攻击模式。Unit 42的研究人员表示：“这种大范围的攻击在高级持续性威胁（APT）组织的行动中非常罕见，尤其是针对这么多外交官的行动。”

APT29：俄罗斯网络间谍的幕后黑手

APT29，又称Cozy Bear，早在2021年就被美国和英国情报机构确认是俄罗斯外情局（SVR）的分支机构。APT29的历史上曾参与多起重大网络攻击事件，包括入侵美国民主党全国委员会（DNC）和一系列针对欧洲和非洲国家的情报活动。

此次针对驻乌克兰外交官的攻击，再次证明了APT29的高超技术和广泛的目标范围。乌克兰战争已经持续了16个月，俄罗斯对乌克兰以及其盟友的外交活动情报的兴趣，显然处于高度优先级。

外交官为何成为黑客的目标？

外交使团一直以来都是网络间谍活动的重点目标，特别是在战争或冲突时期。APT29这次行动表明，俄罗斯政府希望通过窃取各国外交官的通信和情报，来获取有关乌克兰局势及其国际盟友的战略信息。

这次假广告攻击波及到基辅的22个外国使团，包括波兰、葡萄牙和巴西等国家的大使馆。波兰外交官表示，在他发送的原始广告中，有人因为价格问题与他联系，但他发现这些人谈论的是一个被黑客篡改过的“更低价格”版本。

“当我发现对方提到的价格时，我意识到他们谈论的是被修改后的广告，”这名波兰外交官对路透社说。

如何防范类似的网络钓鱼攻击？

此次APT29利用虚假广告发动的网络钓鱼攻击，充分展示了高级持续性威胁组织的隐蔽性和欺骗性。Palo Alto Networks的研究人员强调，各国外交使团应加强对邮件和附件的安全审查，特别是涉及看似无害的文档和广告。

尽管这次APT29的恶意软件攻击未对美国国务院的系统或账户造成损害，但这场攻击的规模和复杂性，警示着全球外交机构需提高对网络钓鱼攻击的警惕。

结语：网络战中的“宝马陷阱”

这场围绕“廉价宝马”的网络攻击事件，再次揭示了国家支持的APT组织在网络间谍活动中的创新手段和广泛目标。随着乌克兰战争的持续进行，类似的网络间谍活动可能会进一步升级，特别是针对国际外交官和政府机构的攻击将更加频繁和复杂。

全球的外交官、政府部门以及企业机构必须时刻警惕，提升网络安全防护措施，以应对来自APT29等组织的日益复杂的网络攻击。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。