来自微软的安全专家于近期揭露了一场主要针对美国发起的鱼叉式网络钓鱼活动，其目标包括公共机构和非政府组织，如智库、研究中心和教育机构，以及石油、天然气、化工以及医疗行业的私营企业。

其他第三方安全专家分析认为，这场活动是俄罗斯黑客组织APT 29（CozyBear，“舒适熊”）发起的，该组织也被微软称之为YTTRIUM。但截止到目前为止，微软的安全专家表示，他们还没有足够的证据可以用来证明APT 29就是幕后黑手。

根据微软安全专家的说法，这场活动开始于上个月14日早间。攻击所针对的目标主要是那些参与政策制定或在政治领域有一定影响力的机构，具体行业分布情况如下：

虽然这场网络钓鱼活动的攻击目标分散于全球各地，但主要集中在美国（尤其是华盛顿周边）。其他目标则主要集中在欧洲、中国香港、印度和加拿大。

鱼叉式钓鱼电子邮件伪装成通过OneDrive（微软云存储服务）分享的通知，以美国国务院工作人员的身份发出。如果收件人点击了电子邮件中链接，那么也就启动了整个攻击链，最终导致一个DLL后门被安装，使得攻击者可以远程访问受感染设备。

安全专家表示，钓鱼电子邮件所包含的链接（hxxps：//www.jmj.com/personal/nauerthn_state_gov/TUJE7QJl [随机字符串]）原本是合法的，但似乎已经受到感染。攻击者使用随机字符串来识别点击了该链接的不同目标，收件人最终都会被重定向到一个相同的链接——hxxps://www.jmj.com/personal/nauerthn_state_gov/VFVKRTdRSm，进而导致一个包含Cobalt Strike的zip压缩文件被下载，以安装上述DLL后门。

这里需要指出的是，CobaltStrike原本是一款功能丰富的渗透测试工具，但也允许远程攻击者执行多种恶意操作，包括提升权限、捕获用户输入、通过PowerShell或WMI执行任意命令、执行侦察、通过不同协议与C2服务器通信，以及下载和安装恶意软件等。

微软的安全专家建议，想要避免遭受此类网络钓鱼攻击的侵害，用户最好不要随意点击电子邮件中的任何可疑链接，无论是在工作环境中还是在家里。即使这些电子邮件来自你信任的人，最好也先通过电话进行身份确认。