HackerNews 编译,转载请注明出处:
俄罗斯威胁行为者正发起新一轮钓鱼攻击活动,通过伪造欧洲大型安全会议的相关信息,暗中窃取受害者的云服务凭证。
攻击者发送的邀请函看似正规,往往与贝尔格莱德安全会议、布鲁塞尔印太对话会等会议相关联,引导目标用户进入仿冒会议主办方搭建的精致注册页面。
在这一专业伪装的背后,攻击者会将用户导向恶意的微软 365 及谷歌账户登录流程,以此获取对受害者电子邮件与文件的长期访问权限。
沃莱克西蒂安全分析师确认,这些攻击活动与代号为UTA0355的俄罗斯黑客组织有关。该组织在 2025 年持续优化对开放授权协议与设备代码的滥用手段。
该黑客组织并不会在初始阶段发送明显带有恶意的链接,而是先通过电子邮件、即时通讯软件 WhatsApp 或 Signal 建立信任关系,随后再诱导受害者进入看似常规的单点登录 “注册” 流程。
在很多情况下,就连发送钓鱼邮件的账户和即时通讯账号,都是攻击者从真实的政策研究机构或学术网络中攻陷的合法账号。
一旦目标用户点击链接,bsc2025[.]org、brussels-indo-pacific-forum[.]org等仿冒会议网站就会要求用户输入 “企业邮箱”,随后跳转至伪造的微软官方登录页面。
攻击者的核心伎俩在于,从浏览器的网址链接中捕获 OAuth 令牌与设备代码,并对这些信息进行复用。
在部分攻击案例中,攻击者还会以 “完成注册流程” 为借口,要求用户将完整的登录网址粘贴回聊天窗口。
钓鱼攻击得手后,入侵者的技术操作痕迹隐蔽但条理清晰。UTA0355 组织通常会在微软企业身份认证平台(Microsoft Entra ID)中注册一台新设备,并盗用受害者真实的设备名称,以此混入目标机构的资产清单,躲避监测。
攻击者会通过代理节点发起访问请求,部分请求还会携带安卓系统的用户代理字符串,与受害者实际使用的硬件设备并不匹配。这一特征也意味着,对系统日志的细致核查至关重要。
在多数安全信息与事件管理平台(SIEM)中,可通过设置以下简单检测规则标记此类异常匹配情况:
SigninLogs
| where DeviceDetailOperatingSystem startswith "Android"
| where DeviceDetailDisplayName has "iPhone"
上述检测逻辑也可转化为基于 Python 语言的日志筛选脚本:
if "Android" in ua and "iPhone" in device_name:
flag_suspicious(session_id)
一份完整的技术分析报告指出,此类攻击中真正的 “恶意软件” 并非传统的二进制程序,而是被武器化的 OAuth 协议与设备代码登录流程。
攻击的 “有效载荷” 其实是用户在操作过程中提交的授权许可与各类令牌。凭借这些信息,攻击者能够获得应用程序编程接口(API)层面的权限,访问受害者的邮箱、文件及身份数据,且这一过程基本不会被终端安全工具察觉。
消息来源:cybersecuritynews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
