最近,ESET公司发布了APT28最新的活动动向
1.简介
APT28组织(又被称作:奇幻熊,Sednit,Sofacy,Pawn Storm,Group 74,Fancy Bear,STRONTIUM,Tsar Team,Threat Group-4127,TG-4127,Swallowtail,SIG40)自2004年以来一直在运营,并且在过去几年中经常成为头条新闻:它背后是一个高调的攻击组织。该组织对多个行业、多个国家的政府、公益组织机构进行攻击。例如,美国司法部将该组织命名为在2016年美国大选之前对民主党全国委员会(DNC)进行黑客攻击。该组织还被认为是全球电视网,世界反兴奋剂机构(WADA)电子邮件泄密以及许多其他人的黑客攻击。该小组在其武器库中拥有多种多样的恶意软件工具。
在2018年8月,APT28的运营商部署了两个新的Zebrocy组件,从那时起我们看到了Zebrocy部署的增长。Zebrocy是一套下载器和后门; 当下载者正在进行侦察时,后门会对目标实施持久性和间谍活动。这些新组件使用一种不寻常的方式,通过使用与SMTP和POP3等邮件服务相关的协议来收集收集的信息。
2.受害者信息
这些新组件所针对的受害者类似于我们之前的Zebrocy帖子和卡巴斯基中提到的受害者。这种袭击的目标是中亚,以及中欧和东欧国家,特别是大使馆,外交部和外交官。
3.攻击途径
两年来,APT28组织主要使用网络钓鱼电子邮件作为活动的感染媒介。一旦目标受到损害,他们就会使用不同的第一阶段下载程序收集有关受害者的信息,如果受害者遭受感染,经过一段时间,APT28组织会部署一个二级后门。
Zebrocy活动的经典作案手法是让受害者收到附在电子邮件中的档案。该存档包含两个文件,一个是良性文档,另一个是恶意可执行文件。操作员试图通过模拟真实邮件的可执行文件来欺骗受害者。
4.总结
近年来APT28活动越来越频繁。而且APT组织的IP地址、域名和所使用的样本文件的更新也越来越频繁。如何有效的预防和检测APT,越来越困难。
针对已知威胁的攻击,传统的入侵检测系统仅能检测已知威胁,但现实网络环境面临的威胁往往过于复杂,譬如现在越来越多的APT攻击威胁,传统的防火墙设备、入侵检测系统都无法进行内容级和行为级别的检测,这就是我们常说的对未知威胁的防护。未知威胁包括未知安全漏洞与缺陷、未知木马行为与特征、未知攻击行为、加密内容、社会工程等攻击行为,其攻击的高级程度,不是通过编辑规则库所能完成,这也是基本上是大部分APT组织使用的攻击技术和手段。
目前我们的威胁确实越来越严峻,这就要求企业具备面对未知威胁与攻击的检测、发现的能力,可以通过文件威胁检测、大数据安全分析、漏洞攻击检测等恶意代码检测手段多管齐下,采用组合攻击检测手段,有效 降低关键业务系统敏感信息、资料文档被APT组织窃取。避免导致通过APT拿的关键数据,导致国与国直接对抗出现短板。