本月初，俄羅斯政府贊助的APT28組織注冊(cè)了一個(gè)虛假的EFF(電子前哨基金會(huì))域名，向受害者發(fā)動(dòng)魚(yú)叉式釣魚(yú)攻擊。同時(shí)利用流行的隱私監(jiān)控軟件，以企圖讓受害者相信該域名發(fā)送的郵件是來(lái)自受信任組織。

[[147773]]

根據(jù)安全專(zhuān)家的調(diào)查發(fā)現(xiàn)，此次的魚(yú)叉式釣魚(yú)攻擊活動(dòng)是Pawn Storm 行動(dòng)的一部分，而且眾多安全公司的安全專(zhuān)家一致表示，俄羅斯的APT28操控著一個(gè)長(zhǎng)期性的間諜活動(dòng)。

據(jù)火眼公司表示，Pawn Storm組織，又名APT28，活躍時(shí)間已經(jīng)長(zhǎng)達(dá)數(shù)年。它的攻擊特點(diǎn)是：只會(huì)在工作時(shí)間(莫斯科時(shí)間)發(fā)動(dòng)攻擊，目標(biāo)都是和政府、軍事、安全相關(guān)的組織，竊取的信息都是俄羅斯情報(bào)機(jī)構(gòu)較為感興趣的信息。

EFF發(fā)布博客，惡意攻擊者在幾周前注冊(cè)了虛假的域名electronicfrontierfoundation.org，利用剛打上補(bǔ)丁的Java 0day exp發(fā)動(dòng)目標(biāo)性攻擊。

攻擊詳情

釣魚(yú)郵件中包含虛假EFF網(wǎng)站的鏈接，用戶一旦點(diǎn)擊了該鏈接，就會(huì)被重定向到同一域名下的另一個(gè)網(wǎng)頁(yè)上，該網(wǎng)頁(yè)含有存在漏洞的Java applet。

通過(guò)利用Java 0day exp，攻擊者可以在受害者設(shè)備上運(yùn)行任意代碼，執(zhí)行二進(jìn)制程序等惡意操作。

為什么會(huì)認(rèn)為此次攻擊活動(dòng)和APT28有關(guān)呢?

安全專(zhuān)家們通過(guò)對(duì)比此次攻擊活動(dòng)和APT28操縱的其他活動(dòng)，發(fā)現(xiàn)他們之間有著很多的相似之處，比如文件名和路徑都基本一樣，所以偽造EFF域名發(fā)動(dòng)釣魚(yú)攻擊事件應(yīng)該也是APT28操縱攻擊活動(dòng)。