近日，波蘭政府宣布，疑似與俄羅斯軍事情報局（GRU）有關的威脅攻擊者一直在“襲擊”波蘭政府機構。

CSIRT MON（波蘭國防部長領導的計算機安全事件響應小組）和 CERT Polska（波蘭計算機應急響應小組）近期發現很多資料，證實了疑似具有俄羅斯背景的黑客組織 APT28 在一次大規模網絡釣魚活動中，攻擊了多個波蘭政府機構。

威脅攻擊者通過發布一些網絡釣魚郵件，試圖誘使收件人點擊顯示爲”獲得更多有關一名神秘的烏克蘭婦女向波蘭和烏克蘭高級當局 "出售 "二手內衣信息的鏈接。一旦點擊鏈接，收件人就會被重定向到多個網站，然後進入一個下載 ZIP 壓縮包的頁面。

據悉，該壓縮包包含了一個僞裝成 JPG 圖像文件的惡意可執行文件以及名爲 DLL 和 .BAT 腳本的隱藏文件。

在受害目標打開僞裝的可執行文件後，隱藏的腳本就會立刻自動運行，腳本會在 Microsoft Edge 浏覽器中顯示一張泳裝女子的照片，分散受害者的注意力，同時”偷偷“下載 CMD 文件並將其擴展名更改爲 JPG。

值得一提的是，此次網絡攻擊活動中使用的策略和基礎工具與另一起網絡攻擊運動中使用的策略和基礎工具非常相似，APT28 組織成員使用“以色列-哈馬斯沖突”作爲誘餌，給 13 個國家（包括聯合國人權理事會成員）的官員“提供”帶有 Headlace 惡意軟件的後門設備。

APT28 攻擊流 （CERT Polska）

APT28 黑客組織自 2000 年代中期浮出水面以來，組織發動了許多備受矚目的網絡攻擊時間。2018 年，業內很多從業者將其與 GRU 的軍事單位 26165 聯系在一起。

據悉，APT28 組織不僅可能是 2016 年美國總統大選前入侵民主黨全國委員會（DNC）和民主黨國會競選委員會（DCCC）的幕後黑手，也有可能是 2015 年入侵德國聯邦議會（Deutscher Bundestag）的幕後真凶。

2018 年 7 月，美國當局曾指控 APT28 多名成員參與到 DNC 和 DCCC 網絡攻擊事件中，歐盟理事會在 2020 年 10 月因聯邦議院網絡攻擊事件，宣布制裁 APT28 組織。

一周前，北約、歐盟以及一些國際合作夥伴正式譴責了針對包括德國和捷克在內的多個歐洲國家的長期 APT28 網絡間諜活動。德國表示，APT28 組織入侵了社會民主黨執行委員會成員的多個電子郵件賬戶。捷克外交部也透露，APT28 在 2023 年襲擊了捷克境內的一些機構。

美國國務院曾發布聲明，呼籲 APT28 組織背後的運營商立刻停止一惡意網絡攻擊活動，遵守國際承諾和義務，並一再強調，美國將與歐盟和北約盟國一道，繼續采取更加嚴厲的措施，打擊 APT28 組織的網絡攻擊活動，保護其公民的信息資産，追究威脅攻擊者的責任。

參考文章：

https://www.bleepingcomputer.com/news/security/poland-says-russian-military-hackers-target-its-govt-networks/