俄罗斯黑客瞄准美国军事武器和硬件供应商

一个与俄罗斯有联系的国家支持的黑客组织被链接到攻击基础设施，该攻击基础设施欺骗了总部位于美国的合法军事武器和硬件供应商Global Ordnance的微软登录页面。

《记录的未来》将新基础设施归因于其追踪的一个威胁活动小组TAG-53，被网络安全界广泛称为Blue Callisto、Callisto，COLDRIVER、SEABORGIUM和TA446。

Recorded Future的Insikt Group在本周发布的一份报告中表示：“根据对重叠的TAG-53活动的历史公开报道，这种凭证获取活动很可能部分是通过网络钓鱼实现的”。

这家网络安全公司表示，它发现了38个域名，其中9个域名引用了UMO Poland、Sangrail LTD、DTGruelle、蓝天网络、国际司法与问责委员会（CIJA）和俄罗斯内务部等公司。

有人怀疑，主题域名很可能是对手在社交工程活动中伪装成真实政党的一种尝试。

研究人员表示：“值得注意的是，在TAG-53使用专门定制的基础设施方面，出现了一种一致的趋势，突出了类似技术在战略战役中的长期使用”。

这一事态发展发生在近四个月前，微软（Microsoft）透露，它已采取措施，破坏该集团发起的钓鱼和凭证盗窃攻击，目的是破坏英国和美国的国防和情报咨询公司以及非政府组织、智库和高等教育实体。

企业安全公司Proofpoint进一步呼吁该组织采用复杂的模拟策略来提供恶意网络钓鱼链接。

TAG-53链接域中使用的术语

此外，该威胁行为人被认为对针对乌克兰国防部的鱼叉式网络钓鱼行动信心不足，该行动恰逢今年3月早些时候俄罗斯对该国发动军事入侵。

SEKOIA.IO在另一篇报道中证实了这一发现，共发现了87个域名，其中两个域名指向私营企业Emcompass和BotGuard。参与乌克兰危机救援的四个非政府组织也成为目标。

其中一次攻击涉及非政府组织和攻击者之间的电子邮件通信，攻击者使用伪造的电子邮件地址模仿可信来源，然后发送包含钓鱼链接的恶意PDF，试图逃避电子邮件网关的检测。

该网络安全公司解释说：“电子邮件交换显示，攻击者没有在第一封电子邮件中包含恶意负载，而是等待得到答案以建立关系并避免怀疑，然后才将负载发送给受害者。”。

使用错别字的俄罗斯部域名进一步加重了微软的评估，即SEABORGIUM针对的是前情报官员、俄罗斯事务专家和海外俄罗斯公民。

SEKOIA.IO还将CIJA的目标定位为一个情报收集任务，旨在收集“与战争罪相关的证据和/或国际司法程序，可能会预测并构建对未来指控的反陈述”

这些信息披露之际，威胁情报公司Lupovis透露，俄罗斯威胁行为者已经危害了英国、美国、法国、巴西和南非几家公司的IT环境，并正在“通过其网络重新路由”对乌克兰发动攻击。

与此同时，微软警告称，“今年冬天，俄罗斯可能会对数字领域进行攻击”，并指出莫斯科采取“多管齐下的混合技术方法”，对民用基础设施进行网络攻击，并影响旨在助长欧洲不和的行动。