PawnStorm是一个与俄罗斯有联系的网络间谍组织,一直在使用被盗的电子邮件帐户向潜在受害者发送网络钓鱼电子邮件,趋势科技的安全研究人员说。PawnStorm至少从2004年开始活跃,也被称为APT28、Sednit、FancyBear和Strontium。有传言说它得到了俄罗斯GRU情报机构的支持,它计划在2016年美国大选之前对乌克兰、北约国家和DNC发动袭击。多年来,PawnStorm一直依靠网络钓鱼来获取感兴趣的系统,但在2019年5月,趋势科技观察到他们的策略、技术和程序(TTP)发生了变化。该组织开始入侵备受瞩目的电子邮件帐户以发送网络钓鱼电子邮件。该计划在2019年和2020年均已实施。属于中东国防公司的电子邮件帐户被滥用最多。在运输、公用事业和政府部门也发现了其他邮件盗窃受害者。“目前尚不清楚为什么中东的国防公司会转而使用受感染的电子邮件帐户。但PawnStorm可能试图以让安全公司知道一些受感染的电子邮件帐户为代价来逃避垃圾邮件过滤。但是,我们没有注意到该组织垃圾邮件活动的成功收件箱投递发生了重大变化,因此仍然难以理解。”去年,该组织还探测了全球的电子邮件服务器和MicrosoftExchange自动发现服务器,主要针对TCP端口443、IMAP端口143和993、POP3端口110和995,以及SMTP端口465和587。这次活动的目的可能是查找易受攻击的系统以获取强大的凭据、破坏电子邮件和发送垃圾邮件。2019年8月至11月期间,该组织主要针对武装部队、国防公司、政府、律师事务所、政党和大学,以及法国和英国的私立学校以及德国的幼儿园。在2019年11月至2019年12月期间,攻击者使用相同的IP地址托管网站并扫描具有暴露端口445和1433的系统,可能寻找运行MicrosoftSQLServer和目录服务的易受攻击的服务器。安全研究人员指出,2017年至2019年间,PawnStorm在其服务器上发起了多次凭据网络钓鱼活动,包括针对美国、俄罗斯和伊朗的网络邮件提供商的垃圾邮件活动。该组织拥有丰富的资源,可以让他们进行长期的竞选活动。他们的攻击范围从复杂的DNS攻击到破坏DNS设置和禁用操作,再到创建水坑和利用零日漏洞。正如他们最近的活动所证明的那样,我们预计会有更多针对不依赖恶意软件的网络邮件和云服务的直接攻击。
