趨勢科技的安全研究人員表示，與俄羅斯有關(guān)的網(wǎng)絡(luò)間諜組織Pawn Storm一直在利用竊取的電子郵件帳戶向潛在受害者發(fā)送釣魚郵件。

Pawn Storm至少從2004年開始活躍，也被稱為APT28、Sednit、Fancy Bear和Strontium。據(jù)傳是由俄羅斯GRU情報(bào)機(jī)構(gòu)贊助，曾在在2016年美國大選之前策劃了對烏克蘭、北約國家和DNC的攻擊活動(dòng)。

[[319870]]

多年以來，Pawn Storm一直依靠網(wǎng)絡(luò)釣魚來獲取感興趣的系統(tǒng)，但在2019年5月，趨勢科技觀察到他們的策略、技術(shù)和程序(TTP)發(fā)生了轉(zhuǎn)變。該組織開始竊取高知名度電子郵件帳戶來發(fā)送網(wǎng)絡(luò)釣魚電子郵件。

該計(jì)劃在2019年和2020年都付諸實(shí)踐。其中屬于中東國防公司的電子郵件帳戶被濫用最多。而在運(yùn)輸、公用事業(yè)和政府部門也觀察到了其他郵件被竊取的受害者。

“目前還不清楚為什么中東地區(qū)的國防公司還會轉(zhuǎn)而使用泄露的電子郵件賬戶。但Pawn Storm可能試圖逃避垃圾郵件過濾，代價(jià)則是讓一些感染的郵件賬戶被安全公司知道。但是，我們又沒有注意到該組織的垃圾郵件活動(dòng)的成功收件箱交付有重大變化，因此，還是很難理解。”

去年，該小組還對全球的電子郵件服務(wù)器和Microsoft Exchange Autodiscover服務(wù)器進(jìn)行了探測，主要針對TCP端口443，IMAP端口143和993，POP3端口110和995，以及SMTP端口465和587。這一行為的目的可能是尋找容易受攻擊的系統(tǒng)，以獲取強(qiáng)力憑證、泄露電子郵件并發(fā)送垃圾郵件。

• 2019年8月至11月之間，該小組主要針對武裝部隊(duì)、國防公司、政府、律師事務(wù)所、政黨和大學(xué)，以及法國和英國的私立學(xué)校以及德國的幼兒園。
• 2019年11月至2019年12月之間，攻擊者使用相同的IP地址托管網(wǎng)站并掃描具有暴露的445和1433端口的系統(tǒng)，可能是為了尋找運(yùn)行Microsoft SQL Server和目錄服務(wù)的易受攻擊的服務(wù)器。

安全研究人員指出，在2017年至2019年期間，Pawn Storm在其服務(wù)器上發(fā)起了多個(gè)憑據(jù)網(wǎng)絡(luò)釣魚活動(dòng)，包括針對美國，俄羅斯和伊朗的Web郵件提供商的垃圾郵件運(yùn)動(dòng)。

該組織擁有大量資源，可以讓他們進(jìn)行漫長的戰(zhàn)役。他們的攻擊范圍從復(fù)雜的DNS攻擊到破壞DNS設(shè)置、禁止操作到創(chuàng)建水坑和利用0day漏洞。正如他們最近的活動(dòng)所證明的那樣，我們預(yù)計(jì)會有更多針對不依賴惡意軟件的webmail和云服務(wù)的直接攻擊。