亚马逊,这家在线零售和云服务巨头,成功揭露了一个涉及伪造数千个亚马逊网络服务AWS域名的网络钓鱼操作。AWS安全团队与乌克兰CERTUA共同指责俄罗斯支持的APT 29集团,该集团利用伪造的AWS域名试图从乌克兰语用户那里窃取登录凭据。
在发现这起网络钓鱼诈骗后,亚马逊迅速采取措施,开始大规模封杀使用于攻击的域名。
根据亚马逊的说明,AWS本身并没有成为攻击的目标,也没有其服务或账户遭到实际的妥协。相反,这些AWS网站的链接仅仅用作引诱受害者点击,最终导致恶意软件下载。
最终,受害者遭遇了旨在窃取帐户凭据的Windows恶意软件。
“他们所使用的一些域名试图欺骗目标,让他们相信这些域名是AWS域名实际上并不是,但亚马逊并不是目标,APT 29也不是在寻找AWS客户的凭据,”亚马逊CISO CJ Moses表示。
“相反,APT 29旨在通过Microsoft远程桌面获取目标的Windows凭据。”
鉴于目标的性质,AWS表示,确定这一俄罗斯支持的威胁集团的动机并不困难,尽管他们的策略略有不同于通常一心一意的APT 20。
“在这个实例中,他们的目标与政府机构、企业和军队有关,而网络钓鱼活动显然旨在窃取来自俄罗斯对手的凭据,”Moses解释说。
“APT 29向更多目标发送了乌克兰语言的网络钓鱼邮件,明显超出了他们通常狭窄的目标范围。”
随着美国总统选举进入最后阶段,专家们认为,在11月5日的选举前,我们可能会看到攻击急剧上升。受到俄罗斯政府支持的黑客团体有着针对美国选举的悠久历史,他们希望通过破坏稳定来倾斜有利于他们偏好候选人的选举结果。美国官员最近警告称,俄罗斯支持的团体已经在选举前加强了他们的信息操作。
通过这种方式,企业和个人都应该保持警惕,增强网络安全意识,避免成为网络钓鱼活动的受害者。
