趋势科技的安全研究人员表示，与俄罗斯有关的网络间谍组织PawnStorm一直在利用窃取的电子邮件帐户向潜在受害者发送钓鱼邮件。

收藏

分享

PawnStorm至少从2004年开始活跃，也被称为APT28、Sednit、FancyBear和Strontium。据传是由俄罗斯GRU情报机构赞助，曾在在2016年美国大选之前策划了对乌克兰、北约国家和DNC的攻击活动。

多年以来，PawnStorm一直依靠网络钓鱼来获取感兴趣的系统，但在2019年5月，趋势科技观察到他们的策略、技术和程序(TTP)发生了转变。该组织开始窃取高知名度电子邮件帐户来发送网络钓鱼电子邮件。

该计划在2019年和2020年都付诸实践。其中属于中东国防公司的电子邮件帐户被滥用最多。而在运输、公用事业和政府部门也观察到了其他邮件被窃取的受害者。

“目前还不清楚为什么中东地区的国防公司还会转而使用泄露的电子邮件账户。但PawnStorm可能试图逃避垃圾邮件过滤，代价则是让一些感染的邮件账户被安全公司知道。但是，我们又没有注意到该组织的垃圾邮件活动的成功收件箱交付有重大变化，因此，还是很难理解。”

去年，该小组还对全球的电子邮件服务器和MicrosoftExchangeAutodiscover服务器进行了探测，主要针对TCP端口443，IMAP端口143和993，POP3端口110和995，以及SMTP端口465和587。这一行为的目的可能是寻找容易受攻击的系统，以获取强力凭证、泄露电子邮件并发送垃圾邮件。

2019年8月至11月之间，该小组主要针对武装部队、国防公司、政府、律师事务所、政党和大学，以及法国和英国的私立学校以及德国的幼儿园。

2019年11月至2019年12月之间，攻击者使用相同的IP地址托管网站并扫描具有暴露的445和1433端口的系统，可能是为了寻找运行MicrosoftSQLServer和目录服务的易受攻击的服务器。

安全研究人员指出，在2017年至2019年期间，PawnStorm在其服务器上发起了多个凭据网络钓鱼活动，包括针对美国，俄罗斯和伊朗的Web邮件提供商的垃圾邮件运动。

该组织拥有大量资源，可以让他们进行漫长的战役。他们的攻击范围从复杂的DNS攻击到破坏DNS设置、禁止操作到创建水坑和利用0day漏洞。正如他们最近的活动所证明的那样，我们预计会有更多针对不依赖恶意软件的webmail和云服务的直接攻击。

【编辑推荐】

东京奥运会，一场国家级黑客比赛？

黑客新套路：谎称网站安全证书丢失，诱使用户安装恶意软件

绕过企业安全壁垒黑客正学会曲线攻击

网络版”黑吃黑”？神秘黑客组织每天分发受感染的黑客工具

冠状病毒诈骗：仿冒网站和电子邮件以毫无戒心的用户为目标

点赞0

黑客网络钓鱼电子邮件

分享:

大家都在看猜你喜欢