俄羅斯知名國家級駭客組織
APT 28(又稱
Fancy Bear)持續針對巴爾幹半島、中東和中亞的特定組織發動憑證竊取攻擊。這個與俄羅斯聯邦總參謀部情報總局(GRU)相關的組織採用看似簡單卻極為有效的基本技術,投資報酬率往往超越複雜的惡意軟體行動。
APT 28 在 2010 年代中期是全球最惡名昭彰的進階持續性威脅(APT)組織之一。該組織針對烏克蘭、美國與歐洲選舉,以及奧運相關組織發動的攻擊,對全球網路安全議題產生了重大影響。而當時只有 Anonymous 駭客組織的影響力能與之匹敵。
相較之下,Fancy Bear 近期的活動主要針對全球政府機關或對俄羅斯具戰略價值的組織,進行標準的
魚叉式網路釣魚攻擊。根據資安業者的研究,2025 年 2 月至 9 月期間,該組織鎖定全球各地的特定組織,竊取其憑證,攻擊工具僅為經設計的網路釣魚頁面和現成的基礎設施。
Fancy Bear最新攻擊手法解析
Fancy Bear 的攻擊始於網路釣魚電子郵件。這些郵件會根據目標特性客製化主題,並以目標的母語撰寫。受害者點擊連結後,會看到一份借用自相關組織的真實 PDF 文件。例如,該組織曾用中東某智庫的氣候變遷政策文件來攻擊土耳其的再生能源科學家。
瀏覽片刻後,受害者會被重新導向到模仿合法線上服務的登入頁面。受害者輸入 Sophos VPN、Google 或 Microsoft Outlook 憑證後,會再次被導向真實服務的相同登入頁面,需要再次輸入憑證。對受害者而言,這種情況僅會被誤認為只是系統故障。
為支援攻擊流程,Fancy Bear 採用各種常見的託管服務,而非自製工具和基礎設施。駭客取得憑證後,可存取受害者的電子郵件帳號或 VPN,進而蒐集情報、在系統中橫向移動,並對更有價值的相關目標發動後續攻擊。
憑證竊取攻擊依賴廣泛可用的網路服務,設置需求極少,且可快速重新配置或放棄,成本很低。使用廉價、可替換的組件也有助於駭客保持低調。這些行動通常透過商業 VPN 服務存取,基礎設施則託管在免費平台上,使傳統追蹤方法(如伺服器註冊追蹤或金流追蹤)的效果大幅降低。
除了節省成本,不使用特殊惡意軟體、基礎設施或技術還有另一層意義:駭客可以減少技術指紋,縮短基礎設施需保持活躍的時間。這種做法反映出情報蒐集的成熟演進,優先考慮持續性、可擴展性和可否認性,而非複雜性。相較於快速引起關注的高成本攻擊活動,這種方式往往能帶來更高的作戰價值。
最終目標:取得戰略組織的存取權限
這波攻擊活動的已知目標包括烏茲別克的 IT 系統整合商、歐洲智庫、北馬其頓的軍事組織,以及與土耳其能源和核能研究組織相關的科學家和研究人員。
乍看之下,目標似乎分散且缺乏關聯。然而從情報角度來看,這些選擇具有高度針對性,且與 GRU 的情報蒐集優先事項一致。這些目標幾乎都符合地緣政治、軍事或戰略情報目標,而非商業或犯罪目標。
值得注意的是,
部分目標可能只是攻擊者為了接觸更高價值目標的跳板,例如烏茲別克的 IT 系統整合商。在先前的攻擊活動中,研究人員發現憑證竊取頁面會鎖定規模較小或較不知名的組織,這些組織後來證實透過差旅、物流或供應鏈關係與更高價值目標相連。
防護建議
- 加強員工網路釣魚意識訓練,特別針對客製化的多語言釣魚郵件
- 實施多因素驗證(MFA)機制,降低憑證遭竊後的風險
- 監控 VPN 和郵件帳號的異常登入行為
- 定期檢視與第三方供應商及合作夥伴的連結關係,評估供應鏈風險
本文轉載自 DarkReading。