卡巴斯基全球研究与分析团队(GReAT)发现,名为ForumTroll 的高级持续性威胁(APT)行为者正发起新一轮针对性钓鱼攻击,通过伪造的剽窃检测报告,瞄准俄罗斯顶尖高校及研究机构的政治学者与其他研究人员。
2025年10月,就在卡巴斯基在2025年安全分析师大会上展示其 ForumTroll 研究报告的前几天,卡巴斯基全球研究与分析团队检测到该组织发起了一场新的攻击活动。最新发现显示,ForumTroll的攻击重心已从机构转向特定个人——主要针对俄罗斯重要学术研究机构的政治学者、国际关系专家及经济学家。此次攻击活动是 ForumTroll 组织在 2025年3月首次被记录的行动的延续,当时卡巴斯基全球研究与分析团队发现并报告了后来被标识为CVE-2025-2783的Chrome漏洞。在SAS 2025大会上,该团队还披露,这个APT组织使用了商业间谍软件Dante。卡巴斯基全球研究与分析团队溯源确认该软件由意大利间谍软件供应商Memento Labs(黑客团队Hacking Team的继承者)开发。在十月份的攻击活动中,攻击者从 support@e-library[.]wiki 发送了网络钓鱼邮件,这个地址来自一个伪造的网站,该网站旨在模仿俄罗斯官方学术门户网站 elibrary.ru。邮件会诱导收件人点击链接下载所谓的“抄袭检测报告”,实际下载的却是以目标学者命名的ZIP压缩包。在其中,卡巴斯基发现了一个旨在安装恶意软件的快捷方式文件,以及一个包含普通图像的文件夹,这些图像很可能是为了使压缩包看起来无害而添加的。当快捷方式被打开时,它会悄然运行代码,联系攻击者的服务器,下载恶意软件并将其安装在受害者的计算机上,以便在重启后再次运行。与此同时,屏幕上会显示一份经过模糊处理的PDF文件,伪装成抄袭检测报告,以此营造常规学术检查的假象,从而降低怀疑。最终植入的恶意软件是Tuoni,这是一种市售的黑客工具,常用于安全测试。在ForumTroll组织操控下,Tuoni为攻击者提供了远程访问受害者设备的权限,使其能够在网络内部执行进一步操作。卡巴斯基还发现,攻击者精心搭建了他们的在线基础设施:他们将控制服务器托管在Fastly的云服务器上,根据访问者的操作系统显示不同的消息,并且似乎限制了重复下载,以增加分析难度。伪造的e-library[.]wiki网站本身是真实eLibrary主页的复制品,其代码中遗留的痕迹可追溯至2024年12月,表明此次攻击经过数月筹备。“研究人员经常成为高级威胁行为者的攻击目标,尤其当他们的学术档案中包含公开列出的联系信息时。那些能引起焦虑的网络钓鱼邮件,例如声称剽窃的邮件,往往能有效诱使受害者快速点击。在个人设备上安装安全软件,并对未经请求的附件保持警惕,是降低此类攻击风险的关键措施,”卡巴斯基全球研究与分析团队高级安全研究员Georgy Kucherin表示。
卡巴斯基的调查始于其Next XDR Expert检测到的新威胁,该调查不仅发现了新型APT组织ForumTroll,还揭露了与Hacking Team相关的间谍软件卷土重来。卡巴斯基全球研究与分析团队(GReAT)评估认为,ForumTroll自2022年起便持续对俄罗斯和白俄罗斯的目标保持长期关注。
完整版报告请参阅Securelist.com。
卡巴斯基建议研究人员与学术人员采取以下措施:
· 谨慎对待涉及抄袭指控或学术伦理投诉的主动来信,尤其当其包含指向外部文件共享或文档服务的链接时
· 在打开附件或压缩文件前,务必通过已知官方渠道(例如机构官方域名或既往联系渠道)核实此类通讯的真实性
· 保持操作系统及浏览器更新,以降低遭受零日漏洞攻击的风险
· 为有效识别恶意邮件、脚本及有效载荷,请安装并维护可信赖的安全解决方案,例如卡巴斯基Next产品线中的系列产品。该系列提供实时防护、全面威胁可视化、深度调查及高级响应能力,适用于各规模及行业的组织机构。
关于全球研究与分析团队
全球研究与分析团队(GReAT)成立于 2008 年,是卡巴斯基的核心部门,负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前,GReAT 由 40 多名专家组成,他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用,他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务,以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情,请访问www.kaspersky.com。
加载中,请稍侯......