研究人员发现,可能与俄罗斯有关联的威胁组织 APT28正在监视中亚国家外交实体,以收集该地区的经济和政治情报。
该组织被追踪为 UAC-0063,至少自 2021 年以来一直活跃,此前曾针对乌克兰、以色列、印度以及哈萨克斯坦、吉尔吉斯斯坦和塔吉克斯坦等多个中亚国家的外交、非营利、学术、能源和国防实体进行攻击。
在对7 月份针对乌克兰科研机构的攻击进行分析时,乌克兰计算机应急反应小组 (CERT-UA) 认为 UAC-0063 与 APT28(又名 Fancy Bear 或 BlueDelta)有“中等信心”关联,后者与俄罗斯军事情报机构 (GRU) 有关联。
网络安全公司 Sekoia发现并于周一在一份报告中描述了正在进行的网络间谍活动,黑客使用合法文件(例如信函、草稿文件或内部行政记录)向受害者发送恶意软件,这些文件可能来自哈萨克斯坦外交部。
他们如何获得这些文件尚不清楚,但研究人员表示,这些文件可能是在早先的网络行动中被泄露的,或通过开源收集获得的,或通过物理操作获得的。
Sekoia发现了近二十份这样的文件,日期从 2021 年到 2024 年 10 月。其中大部分涉及哈萨克斯坦与其他国家之间的外交合作和经济问题。
这些恶意文件包含两种已知的恶意软件,Cherryspy 和 Hatvibe,这两种恶意软件都曾用于针对亚洲和乌克兰的网络间谍活动。Cherryspy 后门允许攻击者执行从命令和控制服务器收到的 Python 代码,而 Hatvibe 则可以在受感染的设备上下载和执行其他文件。
研究人员表示,尽管该组织在这次活动中使用了熟悉的工具,但感染链“非常独特”,并强调其专注于绕过安全解决方案。
研究人员认为,此次活动是针对中亚国家,特别是哈萨克斯坦外交关系的更大规模全球网络间谍行动的一部分。
他们表示:“此次攻击活动的目的可能是收集哈萨克斯坦与西亚、中亚国家关系的战略和经济情报。”
发表评论