据报道， 俄罗斯精英黑客组织伪装成北约(NATO)代表向欧洲的外交组织发送一系列网络钓鱼电子邮件，包括罗马尼亚外交部。

外媒获取了一封网络钓鱼电子邮件的副本，研究人员认为幕后黑手就是APT28(亦被称为Fancy Bear)。这封电子邮件包含陷阱附件，其利用的是最近两个被披露的Microsoft Word漏洞。这封电子邮件表明，APT28有效伪装成北约的电子邮箱地址，可以确定的是北约员工目前正在使用hq.nato.intl域名。目前这份病毒文件已被提交到计算机病毒库Virus Total。

嚣张!APT28重用已经暴露的服务器攻击罗马尼亚外交部-E安全

知名网络安全公司FireEye的一位分析师证实，网络钓鱼电子邮件与APT28有关是真实的。最初，部分攻击目标或发送人的完整地址并未被公开。

北约就这起攻击不予置评，但表示，黑客经常攻击北约的系统，一名官员表示，他们认识到此类攻击包括使用欺骗性的北约电子邮件。当发现欺骗性电子邮件时，北约通常会提醒同盟国的负责当局，以防止攻击扩散。APT28在网络防御者中已臭名远扬，北约表示会密切追踪该组织的活动。

反病毒产品竟然不起作用

研究人员表示，发送给罗马尼亚外交部的另一封网络钓鱼电子邮件包含一个名为“Trump’s_Attack_on_Syria_English.docx”的附件，该附件是一篇新闻。但罗马尼亚外交部尚未予以置评。如果目标在易受攻击的系统上打开该附件，该附件会利用Word中的两个代码漏洞下载远程访问木马。目前，研究人员认为这两个漏洞为0day漏洞，Microsoft已于周二修复了该漏洞。

FireEye将这款恶意软件称为“GameFish”会在本地下载，这意味着下载无需联网。这起案例中使用的GameFish远程访问木马是APT28使用的黑客工具，其为攻击者提供了大量间谍功能，包括数据渗漏和横向网络活动。FireEye分析师本·瑞德表示，攻击者能使用这款工具将其它电脑病毒上传到已被感染的设备上。

研究人员对罗马尼亚外交部收到的网络钓鱼邮件分析后发现，受害者正使用IronPort和Sophos开发的反病毒产品，但遗憾的是，似乎这两个产品均未将该附件标记为恶意文件。

目前尚不清楚到底有多少组织机构遭遇攻击或成功被APT28以特朗普为主题的网络钓鱼计划感染。瑞德认为这起活动的目标范围“较窄”。

黑客有多嚣张?

连接到多个网络钓鱼样本链接的IP地址(89.249.67.22)返回到APT28的命令与控制基础设施。5个多月以前，安全研究人员最初发现了该基础设施。让研究人员惊讶的是，攻击者竟然重用已经被暴露的攻击服务器，这说明俄罗斯在进攻方面表现出嚣张本性。

Area 1 Security安全研究总监贾维尔·卡斯特罗表示，尽管攻击中包含了0day漏洞利用，但APT28在重用攻击基础设施时未进行适当的安全操作。

FireEye和另一家网络安全公司ESET周二都发布了技术报告。但报告并未披露发送者数据或潜在受害者的相关信息。

虽然FireEye最初在四月份发现证明APT28曾利用两个Microsoft Word漏洞的证据，但研究人员等到Microsoft周二发布补丁才公开发布分析结果。

据报道，APT28 过去十年一直对欧洲实施政治间谍活动。2016年，该组织攻击美国民主党全国委员会和希拉里竞选主席约翰·波德斯塔后公开进行主流宣传。美国情报总监办公室一月发布报告称，APT28为俄罗斯情报机构的杰作。