俄羅斯駭客冒充外交官入侵大使館

三位網路安全專家發現了針對外交使館的大規模駭客行動。一群俄羅斯駭客冒充這些大使館的僱員，誘騙受害者下載電子郵件中的惡意附件。一旦完成，惡意軟體就會感染電腦並恢復大量機密資料。

近年來，俄羅斯海盜事件引起廣泛關注。如今，來自該國的駭客是世界上最危險的駭客之一，他們毫不猶豫地透過有時會產生巨大影響的攻擊來攻擊政府當局。自烏克蘭戰爭爆發以來，後者已經展示了他們的能力透過駭客攻擊發電廠甚至透過控制軍方 Facebook 帳戶。

今天，Mandiant 公司的三位網路安全專家發現了一項新操作。背後的駭客組織名為APT29，其特殊性在於受益於俄羅斯政府的非官方支持。換句話說，這些目標是根據俄羅斯的政治利益來選擇的。這就是 APT29 現在攻擊大使館的原因。

俄羅斯網路釣魚活動針對大使館和外交官

最初的攻擊痕跡可以追溯到 2022 年 1 月。首先，駭客接管了官方大使館網站上顯示的電子郵件地址。透過這種方式，他們確保不會引起受害者的懷疑。

完成後，他們向其他外交官和使館工作人員發送電子郵件，聲稱內部規定發生變化，以吸引他們的注意。相關電子郵件包含一個附件，該附件可能是影像或 ISO 檔案。實際上，該文件包含一個 INK 文件，即 Windows 快捷方式，他們使用擴展名和假圖示進行偽裝。

當INK檔案被開啟時，它會執行惡意DLL檔案。反過來，DLL 檔案使用 BEATDROP 應用程式啟動 BOOMIC 的下載，這是一種直接啟動到電腦記憶體並連接到在公司內部非常流行的線上工具 Trello 的惡意軟體。同樣，使用此工具可以讓駭客不被注意到。更重要的是，這使他們能夠恢復目標外交官合作者的其他電子郵件地址。

使館網路遭到滲透，機密資料被盜

當 BOOMIC 啟動時，它會執行各種任務，從檢索鍵盤輸入、記錄螢幕截圖、安裝代理伺服器，甚至執行更嚴重的任務，例如竊取帳戶憑證甚至連接埠分析。最後，該惡意軟體能夠修改 Windows 註冊表以下載其他惡意程式碼和應用程式。

關於同一主題——勒索軟體：2021 年俄羅斯駭客將 74% 的贖金收入囊中

在不到 12 小時的時間內，APT29 駭客成功獲得了大使館網路內的最高權限，這使他們能夠獲得寫入包含 Kerberos 票證的檔案的授權。從那時起，他們可以掃描整個網路尋找其他受害者和電子郵件地址以發送 BOOMIC。

「對 SharedReality.dll 的分析發現，它是一個用 Go 語言編寫的僅記憶體釋放器，可以解密並執行嵌入式 BEACON 有效負載。 BEACON 有效負載被識別為 SMB BEACON，它透過 SharedReality.dll 的命名管道進行通訊””，Mandiant 在其新聞稿中表示。