俄罗斯黑客绕过 MFA，Gmail 帐户遭到入侵

在令人不安的新一波网络攻击中，俄罗斯国家支持的网络威胁行为者被发现冒充美国国务院，未经授权访问 Gmail 帐户，特别是那些属于目标著名学者和俄罗斯批评者的帐户。

据谷歌威胁情报小组 (GTIG) 的安全研究人员称，这些攻击至少从 4 月份开始，一直持续到 2025 年 6 月初。这些黑客以 UNC6293 的名义进行追踪，并怀疑与著名的 APT29/ICECAP 组织有联系，他们依靠精心设计的社会工程策略从受害者那里提取登录凭据。

黑客使用的是欺骗手段，而不是恶意软件

攻击者没有使用典型的恶意软件或公然的网络钓鱼链接，而是选择了更微妙的方法。相反，随着时间的推移，他们通过发送个性化电子邮件和虚假会议邀请与目标建立信任。为了提高可信度，攻击者伪造了美国国务院官方电子邮件地址，甚至将其包含在消息的抄送行中。

了解更多：黑客利用 RID 劫持在 Windows 中创建管理员帐户

英国著名俄罗斯问题研究员基尔·贾尔斯 (Keir Giles) 分享的一个例子显示了一条转发的消息（见下文），收件人中包含看似可信的国务院地址，这是用于获得信任的关键策略。

一旦目标做出回应，攻击者就会发送一个看似无害的 PDF 文件（为每个收件人定制，主题类似于国务院官方通信），其中包含虚假指令，声称可以帮助他们访问安全的美国政府系统。

事实上，该文档引导受害者创建所谓的应用程序专用密码 (ASP)，这是一种独特的 16 个字符的代码，用于允许应用程序访问 Gmail 帐户，绕过两步验证。

至关重要的是，受害者被指示将此代码发送回攻击者。有了 ASP，黑客就可以在不被发现的情况下登录用户的电子邮件，从而获得长期访问权限，而无需常规密码或触发 MFA（多重身份验证）警报。

“攻击者然后设置一个邮件客户端来使用 ASP，最终目标可能是访问和阅读受害者的电子邮件通信。这种方法还允许攻击者持续访问帐户，”GTIG在博客文章中写道星期四。

两项活动，一项战略

 GTIG 确定了两个独立但相关的活动：

活动1使用美国国务院主题，建议 ASP 名称为“ms.state.gov”。

活动2混合了乌克兰和微软品牌。

这两个活动在基础设施中使用了相同的住宅代理 (91.190.191.117) 和虚拟专用服务器 (VPS)，使调查人员更容易将它们连接在一起。

采取的措施

谷歌表示，它已经重新保护了受这些活动侵害的 Gmail 帐户，并正在积极努力防止未来发生此类攻击。该公司提醒用户，ASP可以随时创建和撤销。创建 ASP 后，Google 会自动向用户相应的 Gmail 帐户、恢复电子邮件地址以及使用该 Google 帐户登录的任何设备发送通知，以确认该操作是故意的。

对于高风险用户，例如记者、活动家和政治分析家，Google 提供了增强的安全资源，例如高级保护计划 (APP)，该计划提供更强的安全性并完全禁用创建 ASP 的能力。

博客文章总结道：“我们希望加深对策略和技术的理解将增强威胁追踪能力，并为整个行业带来更强大的用户保护。”