8月9日微软提出警告,,今年4月加强对以色列使用者的攻击,企图寻找与国防部门有关的人士、外交官、学者、非政府组织。
到了5至6月,这些骇客也锁定美国总统拜登及前总统川普的竞选团队,约有十几个人的电子邮件信箱成为目标,包含了前任及现任的政府官员,以及两大竞选阵营的人士。研究人员发现APT42尝试入侵他们的电子邮件信箱,且有部分遭到骇客得逞,其中包含了知名政治顾问的私人Gmail,研究人员在7月将相关资料提供给执法单位,以便相关单位进行后续调查。
时至今日,研究人员持续看到APT42试图破坏拜登、川普,以及副总统贺锦丽等人士的帐号,但并未得逞。
而对于这些骇客发动攻击的手法,研究人员指出,这些骇客初始发动的攻击,多半是寄送带有恶意URL的信件,或是将这种URL透过PDF附件挟带。
APT42通常会借由视讯会议来引诱目标上当,要使用者存取特定登入网页,然后将他们导向钓鱼网页,研究人员看到骇客利用Google Sites协作平台并将目标导向冒牌的Google Meet登入网页的情况,并在过去半年察觉超过50起攻击行动,但他们也看到骇客滥用OneDrive、Dropbox、Skype的情况。
至于骇客利用PDF附件从事攻击行动的情况,则是会诱骗目标存取Signal、Telegram、WhatsApp等即时通讯软体,然后借由网钓工具包来窃取帐密资料。
研究人员指出,一旦APT42取得受害者帐号的存取权限,会加入额外的存取管道,像是Google应用程式的紧急通行码(Passcode)、Yahoo的第三方应用程式密码,目的就是要绕过多因素验证流程的要求。