趋势科技的安全研究人员表示,与俄罗斯有关的网络间谍组织Pawn Storm一直在利用窃取的电子邮件帐户向潜在受害者发送钓鱼邮件。
Pawn Storm至少从2004年开始活跃,也被称为APT28、Sednit、Fancy Bear和Strontium。据传是由俄罗斯GRU情报机构赞助,曾在在2016年美国大选之前策划了对乌克兰、北约国家和DNC的攻击活动。
多年以来,Pawn Storm一直依靠网络钓鱼来获取感兴趣的系统,但在2019年5月,趋势科技观察到他们的策略、技术和程序(TTP)发生了转变。该组织开始窃取高知名度电子邮件帐户来发送网络钓鱼电子邮件。
该计划在2019年和2020年都付诸实践。其中属于中东国防公司的电子邮件帐户被滥用最多。而在运输、公用事业和政府部门也观察到了其他邮件被窃取的受害者。
“目前还不清楚为什么中东地区的国防公司还会转而使用泄露的电子邮件账户。但Pawn Storm可能试图逃避垃圾邮件过滤,代价则是让一些感染的邮件账户被安全公司知道。但是,我们又没有注意到该组织的垃圾邮件活动的成功收件箱交付有重大变化,因此,还是很难理解。”
去年,该小组还对全球的电子邮件服务器和Microsoft Exchange Autodiscover服务器进行了探测,主要针对TCP端口443,IMAP端口143和993,POP3端口110和995,以及SMTP端口465和587。这一行为的目的可能是寻找容易受攻击的系统,以获取强力凭证、泄露电子邮件并发送垃圾邮件。
- 2019年8月至11月之间,该小组主要针对武装部队、国防公司、政府、律师事务所、政党和大学,以及法国和英国的私立学校以及德国的幼儿园。
- 2019年11月至2019年12月之间,攻击者使用相同的IP地址托管网站并扫描具有暴露的445和1433端口的系统,可能是为了寻找运行Microsoft SQL Server和目录服务的易受攻击的服务器。
安全研究人员指出,在2017年至2019年期间,Pawn Storm在其服务器上发起了多个凭据网络钓鱼活动,包括针对美国,俄罗斯和伊朗的Web邮件提供商的垃圾邮件运动。
该组织拥有大量资源,可以让他们进行漫长的战役。他们的攻击范围从复杂的DNS攻击到破坏DNS设置、禁止操作到创建水坑和利用0day漏洞。正如他们最近的活动所证明的那样,我们预计会有更多针对不依赖恶意软件的webmail和云服务的直接攻击。