大選過後，研究：俄羅斯駭客對美國NGO發動5波網釣攻擊

jis2577

安全公司Volexity指出在8日美國大選過後，又名APT29與Cozy Bear的俄羅斯駭客組織以假造的Gmail帳號及入侵哈佛大學文理學院的郵件帳號發送5波網釣郵件，受害者指向與美國國家安全或國防、國際事務、公共政策及歐亞研究有關的非政府組織、知庫及個人。

在唐納川普正式贏得美國總統大選後不到一天，安全研究公司就發現俄羅斯駭客利用對多家美國非政府組織與智庫發動網釣郵攻擊，藉此植入後門程式。
安全公司Volexity發現11月9日一個名為The Dukes，又名APT 29與Cozy Bear的俄羅斯駭客組織分別透過假造的Gmail帳號及入侵哈佛大學文理學院（Faculty of Arts and Sciences）的郵件帳號傳送5波網釣郵件，受害者包括大批與國家安全或國防、國際事務、公共政策及歐亞研究有關的組織和個人。
這5封網釣信件中，兩封冒充來自希拉蕊柯林頓的柯林頓基金會關於敗選原因分析，另兩封包含有關於選舉結果遭竄改的研究文件及eFax連結，最後一封則提供宣稱可下載「美國選舉問題出在哪」的連結。
研究人員發現，事實上這波攻擊之前，The Dukes今年分別於8月10及25日也發動兩次類似的精準魚叉式釣魚攻擊。當時駭客偽造信件，冒充是來自國際透明組織、新美國安全中心、國際策略研究組織、歐亞集團群及美國外交關係協會等知名智庫的郵件，而且「寄信人」都確有其人。
The Dukes據信已經不是第一次對美國發動攻擊。10月間，美國官方正式指控The Dukes/Cozy Bears還涉入入侵民主黨全國委員會及美國多個政府組織攻擊的行動。           
8月的網釣攻擊信件包含看似真實的報告，如.doc或.xls，其中插入巨集程式以下載惡意程式downloader。等受害者下載及開啟文件後，即會從被入侵的外部伺服器下載一個PNG圖檔，這個圖檔利用圖像隱碼術（steganography）隱藏它真正的目的：名為PowerDuke的後門程式。10月美國大學也曾發現這批網釣信件攻擊。
研究人員指出，The Dukes過去入侵防毒及反惡意程式方案頗為成功，它anti VM巨集及PowerShell script似乎能大量減少受害者系統發揮防禦作用的沙盒和bot，此外它還結合圖像隱寫，並將後門程式以alternate data streams (ADS)下載，或僅下載到記憶體中，這些是頗為創新的手法。Volexity相信Dukes可能正在對智庫及非政府組織進行發動長期入侵，未來可望還會持續發動攻擊。

panups