俄罗斯网络间谍被指攻击斯洛伐克政府长达数月

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

这些攻击被指由 APT29（或称为 Dukes、Nobelium，美国及其它国家公开表示和俄罗斯对外情报局 SVR）发动。这两家安全公司表示，SVR 黑客在2021年2月至7月期间协同发动多种鱼叉式钓鱼活动攻击斯洛伐克官员。

SVR黑客伪装成斯洛伐克国家安全局 (NBU) 向斯洛伐克外交官发送邮件。这些文件通常是 ISO 镜像文件，会在受感染系统上下载并安装 Cobalt Strike 后门。在最近举行的 DEF CON 大会上，IstroSec 公司的研究员详述了如何找到攻击中使用的 SVR 命令和控制服务器。

该团队表示，其中某些 SVR C2 服务器还托管了看似针对捷克政府官员的文档。ESET 公司在今天早些时候证实了这些攻击的存在并表示追踪发现该组织最近攻击位于超过13个欧洲国家的外交官。

ESET 公司表示，这些攻击似乎遵循相同的攻击技术（邮件→ISO 磁盘镜像→LNK 快捷文件→Cobalt Strike 后门），而Volexity 和微软也在今年早些时候阐述了这些报告。在某些攻击中，该俄罗斯间谍组织还利用了一个 Safari iOS 0day 感染在手机上查收邮件的外交官。