英国曝光俄罗斯军事情报部门使用间谍工具

网络威胁组织APT 28在其行动中部署了名为AUTHENTIC ANTICS的复杂恶意软件，针对用户邮箱账户进行攻击。

GCHQ下属的国家网络安全中心首次披露，俄罗斯军事情报部门是使用这款复杂恶意软件的幕后黑手。

此次正式归因声明发布之际，英国政府因恶意混合行动对GRU部队及18名俄罗斯个人实施制裁。

该恶意软件通过窃取受害者登录凭证和令牌，实现对邮箱账户的长期访问。

技术分析

NCSC对AUTHENTIC ANTICS的分析显示，该恶意软件专门设计用于通过伪装合法活动，持续获取微软云账户的端点访问权限。

它会定期显示登录窗口，诱导用户输入凭证，随后拦截这些凭证及用于访问微软服务的OAuth认证令牌。

该恶意软件还通过从受害者账户向攻击者控制的邮箱地址发送邮件（且不在“已发送”文件夹中显示）来窃取数据。

AUTHENTIC ANTICS恶意软件是在2023年由微软和NCSC认证的网络事件响应供应商NCC集团调查网络事件后发现的。

英国此前已曝光：

完整技术报告可通过NCSC官网获取，相关文件可在NCSC恶意软件分析报告页面找到。

今日的技术归因和更广泛行动是与国际合作伙伴协调进行的。