趨勢科技的安全研究人員表示，與俄羅斯有關的網絡間諜組織Pawn Storm一直在利用竊取的電子郵件帳戶向潛在受害者發送釣魚郵件。

Pawn Storm至少從2004年開始活躍，也被稱為APT28、Sednit、Fancy Bear和Strontium。據傳是由俄羅斯GRU情報機構贊助，曾在在2016年美國大選之前策劃了對烏克蘭、北約國家和DNC的攻擊活動。

[[319870]]

多年以來，Pawn Storm一直依靠網絡釣魚來獲取感興趣的系統，但在2019年5月，趨勢科技觀察到他們的策略、技術和程序(TTP)發生了轉變。該組織開始竊取高知名度電子郵件帳戶來發送網絡釣魚電子郵件。

該計劃在2019年和2020年都付諸實踐。其中屬于中東國防公司的電子郵件帳戶被濫用最多。而在運輸、公用事業和政府部門也觀察到了其他郵件被竊取的受害者。

“目前還不清楚為什么中東地區的國防公司還會轉而使用泄露的電子郵件賬戶。但Pawn Storm可能試圖逃避垃圾郵件過濾，代價則是讓一些感染的郵件賬戶被安全公司知道。但是，我們又沒有注意到該組織的垃圾郵件活動的成功收件箱交付有重大變化，因此，還是很難理解。”

去年，該小組還對全球的電子郵件服務器和Microsoft Exchange Autodiscover服務器進行了探測，主要針對TCP端口443，IMAP端口143和993，POP3端口110和995，以及SMTP端口465和587。這一行為的目的可能是尋找容易受攻擊的系統，以獲取強力憑證、泄露電子郵件并發送垃圾郵件。

• 2019年8月至11月之間，該小組主要針對武裝部隊、國防公司、政府、律師事務所、政黨和大學，以及法國和英國的私立學校以及德國的幼兒園。
• 2019年11月至2019年12月之間，攻擊者使用相同的IP地址托管網站并掃描具有暴露的445和1433端口的系統，可能是為了尋找運行Microsoft SQL Server和目錄服務的易受攻擊的服務器。

安全研究人員指出，在2017年至2019年期間，Pawn Storm在其服務器上發起了多個憑據網絡釣魚活動，包括針對美國，俄羅斯和伊朗的Web郵件提供商的垃圾郵件運動。

該組織擁有大量資源，可以讓他們進行漫長的戰役。他們的攻擊范圍從復雜的DNS攻擊到破壞DNS設置、禁止操作到創建水坑和利用0day漏洞。正如他們最近的活動所證明的那樣，我們預計會有更多針對不依賴惡意軟件的webmail和云服務的直接攻擊。