烏克蘭外交官成為寶馬網絡釣魚活動的目標

   帕洛阿爾托網絡42號部門研究人員一項新研究觀察到，一個俄羅斯國家級附屬網絡團伙利用合法出售寶馬汽車的借口，將烏克蘭基輔的外交官作為目標，發起攻擊。 

   這場新穎的網絡釣魚活動是由“隱身熊”組織（又名Cozy Bear，APT29）進行的，美國和英國已公開將其歸咎于俄羅斯對外情報局（SVR）。研究人員稱，這場運動針對的是基輔80多個外國大使館中的至少22個，這是一個“令人驚訝”的數字。

   這場運動是通過波蘭外交部一名外交官發給各大使館的合法電子郵件傳單開始的。這則郵件介紹了一輛位于基輔的二手寶馬5系轎車的銷售情況，文件附件標題為“在基輔出售的寶馬5-2023.docx”。研究人員指出，鑒于在當前環境下很多貨物難以通過運輸進入烏克蘭，如果一位值得信賴的外交官提供可靠的汽車，就將吸引這一地區人們的興趣。

   Cloaked Ursa很可能是在破壞了電子郵件收件人的一個電子郵件服務器后，觀察到了合法傳單，并以傳單作為網絡釣魚誘餌，獲得機會。2023年5月4日，該團伙使用相同名稱的善意微軟Microsoft Word文檔，通過電子郵件將他們的非法傳單發送給基輔各地的多個外交使團。

   如果收件人點擊提供“更多高質量照片”的鏈接，他們將被定向到由Cloaked Ursa選擇的合法網站。當受害者嘗試查看照片時，惡意負載將在后臺靜默執行，同時圖像會顯示在屏幕上。

   該組織使用公開的大使館電子郵件地址實現了約80%的目標，剩下的20%由在表面網絡上未公開的電子郵件地址組成。大多數郵件被發送到大使館的普通收件箱，但也有少數直接發送到個人的工作郵箱。

   沒有信息表明這場運動在感染目標外交官方面取得了多大成功。然而，研究人員表示，目標大使館的數量“對于范圍狹窄的APT秘密行動來說，實在驚人”。

帕洛阿爾托對Cloaked Ursa進行該活動的的評估基于以下因素：

?與其他已知的隱形大熊座戰役和目標的相似之處

?使用已知的隱形大熊座 TTP

?代碼與其他已知的隱形 Ursa 惡意軟件重疊

   此次行動表明，外交使團是俄羅斯政府獲取烏克蘭及其盟友情報的高價值間諜目標。研究人員在博客寫道：“外交官們應該意識到，APT不斷修改其方法，包括通過魚叉式網絡釣魚來提高其有效性，他們將抓住一切機會引誘受害者妥協。烏克蘭及其盟友需要對網絡間諜的威脅保持格外警惕，以確保其信息的安全和保密。”

   與此同時，本周早些時候（7月10日），黑莓公司的研究發現，就在備受期待的北約峰會前幾天，RomCom的黑客也發起了一場針對支持烏克蘭的組織和個人的網絡活動。