俄罗斯黑客冒充外交官入侵大使馆

三名网络安全专家发现了针对外交使馆的大规模黑客行动。一群俄罗斯黑客冒充这些大使馆的雇员，诱骗受害者下载电子邮件中的恶意附件。一旦完成，恶意软件就会感染电脑并恢复大量机密数据。

近年来，俄罗斯海盗事件引起广泛关注。如今，来自该国的黑客是世界上最危险的黑客之一，他们毫不犹豫地通过有时会产生巨大影响的攻击来攻击政府当局。自乌克兰战争爆发以来，后者已经展示了他们的能力通过黑客攻击发电厂甚至通过控制军方 Facebook 帐户。

今天，Mandiant 公司的三名网络安全专家发现了一项新操作。其背后的黑客组织名为APT29，其特殊性在于受益于俄罗斯政府的非官方支持。换句话说，这些目标是根据俄罗斯的政治利益选择的。这就是 APT29 现在攻击大使馆的原因。

俄罗斯网络钓鱼活动针对大使馆和外交官

最初的攻击痕迹可以追溯到 2022 年 1 月。Mandiant 声称，此次攻击至少持续到今年 3 月，经历了连续几波攻击。首先，黑客接管了官方大使馆网站上显示的电子邮件地址。通过这种方式，他们确保不会引起受害者的怀疑。

完成后，他们向其他外交官和使馆工作人员发送电子邮件，声称内部规定发生变化，以吸引他们的注意。相关电子邮件包含一个附件，该附件可能是图像或 ISO 文件。实际上，该文件包含一个 INK 文件，即 Windows 快捷方式，他们使用扩展名和假图标进行伪装。

当INK文件被打开时，它会执行恶意DLL文件。反过来，DLL 文件使用 BEATDROP 应用程序启动 BOOMIC 的下载，这是一种直接启动到计算机内存中并连接到在公司内部非常流行的在线工具 Trello 的恶意软件。同样，使用此工具可以让黑客不被注意到。更重要的是，这使他们能够恢复目标外交官合作者的其他电子邮件地址。

使馆网络遭到渗透，机密数据被盗

当 BOOMIC 启动时，它会执行各种任务，从检索键盘输入、记录屏幕截图、安装代理服务器，甚至还执行更严重的任务，例如窃取帐户凭据甚至端口分析。最后，该恶意软件能够修改 Windows 注册表以下载其他恶意代码和应用程​​序。

关于同一主题——勒索软件：2021 年俄罗斯黑客将 74% 的赎金收入囊中

在不到 12 小时的时间内，APT29 黑客成功获得了大使馆网络内的最高权限，这使他们能够获得写入包含 Kerberos 票证的文件的授权。从那时起，他们可以扫描整个网络寻找其他受害者和电子邮件地址以发送 BOOMIC。

“对 SharedReality.dll 的分析发现，它是一个用 Go 语言编写的仅内存释放器，可以解密并执行嵌入式 BEACON 有效负载。 BEACON 有效负载被识别为 SMB BEACON，它通过 SharedReality.dll 的命名管道进行通信””，Mandiant 在其新闻稿中表示。