【安全资讯】与克里姆林宫相关的黑客攻击东欧政府机构的网络邮件服务器

概要：

近期，俄罗斯相关的黑客组织APT28被发现利用跨站脚本（XSS）漏洞，针对东欧国家的政府机构和国防公司使用的网络邮件服务器进行攻击。这一事件引发了对网络安全的广泛关注，尤其是在乌克兰、保加利亚和罗马尼亚等国。

主要内容：

APT28，又称Fancy Bear和BlueDelta，主要针对乌克兰、保加利亚和罗马尼亚的国家实体及防务公司。根据斯洛伐克网络安全公司ESET的报告，该组织通过发送包含新闻摘录或文章链接的钓鱼邮件进行攻击。例如，一名乌克兰目标收到了提及《基辅邮报》的邮件。邮件中隐藏的恶意代码利用了XSS漏洞，攻击者能够窃取登录凭证、提取联系人并访问受害者的邮箱通信。

此次攻击的目标包括一些为乌克兰生产苏联时代武器的防务公司。APT28自2004年以来活跃，据信与俄罗斯军事情报机构（GRU）有关。在过去两年中，Roundcube和Zimbra等网络邮件服务频繁成为多个间谍组织的攻击目标，包括APT28、GreenCube和Winter Vivern。

2023年，Winter Vivern利用Roundcube网络邮件软件中的零日漏洞，对包括乌克兰在内的多个欧洲国家的政府进行攻击。同年，APT28通过Roundcube服务中的三种不同漏洞，针对乌克兰政府及一家军事航空公司展开攻击。ESET研究人员指出，由于许多组织未能及时更新其网络邮件服务器，且这些漏洞可以通过发送邮件远程触发，因此攻击者针对这些服务器进行邮件盗窃的便利性极高。