俄罗斯APT组织对Google账户发起了大规模的网络钓

戴尔的安全系数威胁管理协作(CTU)检测到一个巨大的网络钓鱼活动，目标是美国、欧盟国家、俄罗斯和前苏联的国防安全人员、政府官员、电视记者和政治从业者的Google帐户。

安全系数的制造商在调查了已灭绝的中国省级协会九三学社的网站服务器上的互联网黑客攻击后，发现了这一钓鱼活动。

仿佛之前已经发现了CrowdStrike和费德利斯一样，SecureWorks发现的证据显示，互联网黑客攻击的主题活动偏向于威胁合作组织4127(TG-4127)，这是一个与俄罗斯有关的互联网技术信息组织，也称为FancyBear、Sofacy、APT28、Sednit、Pawnstorm和锶。

俄罗斯APT组织倾向于收集谷歌账户凭证。

SecureWorks专家认为，用于攻击九三学社中国各省联社工作人员的同类型钓鱼邮件，也曾在2015年3月中旬和9月的大型主题活动中使用过。

体育和健身使用包含Bitly连接的网络钓鱼电子邮件。这种连接会自动将客户跳转到accoounts-google.com域(注意额外的“O”)。每个Bit.ly连接最终都被释放到一个唯一的accoounts-google.comURL，该URL包含一个长base64序列号值。TG–4127组织的黑客技术就是利用这种数值，在假冒的谷歌登录页面上提前填写整体目标的谷歌邮箱的具体地址，然后要求客户输入交易密码。

该主题已经攻击了1881个谷歌账户。

SecureWorks表示，作为此次主题活动的一部分，他们发现了4396个不寻常的BitlyURL。根据这种Bitly连接释放压力获得的URL和他们事先填写的钓鱼网页的具体邮箱地址，安全因素专家认为TG–4127组织已经攻破了1881个谷歌账户。

SecureWorks表示，客户访问了4396个比特连接中的59%。其中，59%被访问的连接中有35%只被访问过一次，这意味着他们很可能输入了自己的账户用户名和密码，这种攻击很可能成功。其他黑客技术曾经尝试用新的链接钓鱼邮件来攻击这样的一般目标。

“一旦这种账户被锁定，CTU的工作人员确定，60%的收件人会点击有意的Bitly连接。如果这种账户被锁定不止一次，57%的收件人会继续尝试点击有意连接，”SecureWorks专家教授写道。“如果最初的网络钓鱼电子邮件失败，这可能会导致黑客技术的一些额外尝试。”

针对总体目标，数据分析显示，64%的邮件地址属于政府机构工作人员、军人、政府机构供应链和航空空航天科研人员。其他人属于创作者、电视记者、社区组织和政治从业者。

钓鱼邮件最多的邮件属于乌克兰总理发言人。总体目标大多与俄罗斯军事干预乌克兰东部有关，包括参与者、电视记者或政治军事从业者。

一些北约成员的工人也被作为攻击的一般目标，还有一些被俄罗斯、前苏联附近国家和俄罗斯边境国家伤害的人。报道俄罗斯政治和军事的电视记者、IT和安全系数公司的员工、研究博客出版商甚至爱写博客的士兵亲属都在这个企业集团的监管之下。

这种大规模的主题活动表明，该组织对其整体攻击目标非常谨慎，有时会在持续攻击的基础上，直到受害者被其陷阱所欺骗。