新闻快讯
< >

“散弹式”攻击!俄APT28黑客组织破天荒改变策略?

E安全6月11日讯 网络安全公司 Palo Alto 的研究人员发现,俄罗斯黑客组织  APT28 已经巧妙了改变了战术,已从较为隐蔽的策略转向“散弹式策略”(Shotgun Approach),安全研究人员称这种攻击方式为“平行”攻击

散弹式策略:

通过不同的感染渠道部署不同的恶意软件,这种策略通常是低水平网络犯罪分子为了不惜一切代价感染目标而常采用的策略。同时,散弹式策略会让攻击者更易被发现,因为安全软件可在其攻击期间获得更多 Artifact(软件开发过程中的有形产物)。高级持续性威胁(APT)组织通常不会采用散弹式策略。

APT28:

又被称为 Sofacy、 Sednit、Fancy Bear、Pawn Storm和 Tsar Team。

俄罗斯APT28黑客组织策略有变:近期改用“平行攻击”策略-E安全

APT28瞄准大量用户,提高感染率

Palo Alto 2018年6月6日发布报告指出,新型的“平行攻击”与 APT28 之前的“套路”形成了鲜明的对比。

过去:在过去几年里,APT28 通常采用相同的利用链和相同的恶意软件对组织机构内的少量用户发起攻击,该组织如今将目标瞄向大量用户,而非少量关键人物。

现在:Palo Alto 的研究人员表示,APT28 向大量目标发送网络钓鱼电子邮件,并未精心选取目标,这些目标的电子邮箱可通过 Web 搜索引擎轻易找到。而在过去的活动中,APT28 通常会集中攻击某个组织机构内的少量受害者。

安全研究人员还注意到,APT28 如今正在部署多种不同的攻击方法,通过不同的恶意软件感染受害者(有时会同时采用这两种策略),因此研究人员将其称之为“平行“攻击。

特点:Zebrocy恶意软件三个变种攻击同一目标

Palo Alto 称,已发现该组织使用鱼叉式网络钓鱼邮件传播带有宏的 Office 文档、利用 DDE 漏洞的 Office 文档和将可执行文件作为附件的电子邮件,APT28 在2017年曾频繁利用“新闻事件”发起DDE攻击。下载并运行这些诱饵文件的受害者会遭遇 Koadic 远程访问木马或 Zebrocy 后门(三个版本中的其中一个版本)感染。

俄罗斯APT28黑客组织策略有变:近期改用“平行攻击”策略-E安全

Zebrocy变种采用不同的编程语言

Zebrocy 三个版本使用不同的编程语言(分别为AutoIt、C++和Delphi)。APT28 组织在最近的攻击中部署了 Zebrocy 这三个版本,有时还会利用这三个版本针对同一目标。这对 APT 组织而言是一种独特的战术,对 APT28 而言更是如此。

研究人员称,他们在研究中尚未发现 APT28 在同一起攻击活动中使用多种语言开发的、针对同一操作系统的同一款软件变种。但是,该组织至少在两个实例中将现有的工具移植到一个全新的平台。因此,研究人员认为,APT28 有能力在攻击期间转换开发语言,甚至改变策略来完成任务。

外交事务组织机构遭遇“平行攻击“

Palo Alto 表示,在近期针对处理外交事务相关政府组织机构的攻击活动中,APT28 部署了“平行攻击“策略,该组织并未重点攻击某些国家,针对的是全球的外交事务相关组织机构。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。