Recorded Future 发布报道称，和攻击基础设施相关联的俄罗斯国家黑客组织，欺骗美国合法军事武器和硬件供应商Global Ordnance的微软登录页面。

该报告将该基础设施归咎于被称为 TAG-53的威胁活动组织名下，该组织更多地被安全社区熟知为 Blue Callisto、Callisto、COLDRIVER、SEABORGIUM和TA446。报告指出，“从对TAG-53攻击活动的历史公开报道来看，该凭据收割活动部分是通过钓鱼攻击启用的。”

报告称发现了38个域名，其中9个中包含对多家企业的引用如UMO Poland、Sangrail LTD、DTGruelle、Blue Sky Network、国际司法和问责委员会 (CIJA)以及俄罗斯内政部。这些主题域名可能是攻击者试图伪装成合法实体发动社工攻击所用。报告提到，“值得注意的是，TAG-53使用特定定制的基础设施的趋势已经形成，说明攻击者在战略活动中长期使用类似技术。”

四个月前，微软曾披露称采取多种措施阻断该黑客组织实施的钓鱼攻击和凭据窃取攻击，该组织的目标是攻陷位于英国和美国的国防和情报咨询企业以及非政府组织、智库和高等教育实体。企业安全公司 Proofpoint 也曾对该组织进行过分析，它利用复杂的模拟技术发送恶意钓鱼链接。

另外，该黑客组织被指对乌克兰国防部发动鱼叉式钓鱼攻击，正好与3月初爆发的俄乌战争巧合。

SEKOIA.IO 在一篇write-up文章中表示，共发现87个域名，其中2个域名与私营企业 Emcompass 和 BotGuard 攻击有关，另外四个涉及乌克兰危机缓解的非政府组织也是受攻击目标。其中一种攻击涉及该非政府组织之间的邮件通信，攻击者欺骗模拟可信来源的邮件地址，之后发送包含钓鱼链接的恶意PDF，试图躲避邮件网关的检测。该公司指出，“邮件通信表明攻击者并未在第一份邮件中包含恶意payload，不过是等待回复建立连接并在发送payload之前避免被怀疑。”使用书写错误的俄罗斯部门域名进一步证明了微软对SEABORGIUM 组织攻击前情报官员、俄罗斯问题专家和俄罗斯海外公民的评估。

SEKOIA.IO 公司还将对CIJA的攻击当做情报收集任务，旨在积累“和战争犯罪相关的证据和/或国际司法程序，很可能是为了在未来的诉讼中预测和构建反叙事。”

威胁情报公司 Lupovis 披露称，俄罗斯黑客组织已攻陷位于英国、美国、法国、巴西、南非多家企业的IT环境，并且“重新路由网络”，攻击乌克兰。微软也提醒称，“俄罗斯可能会在今年冬天攻击数字化领域”，指出俄罗斯采用“多种混合技术方法”攻击旨在攻击民用基础设施以及旨在增加欧洲纷争的影响行动。

原文链接

https://thehackernews.com/2022/12/russian-hackers-spotted-targeting-us.html

来源：代码卫士