网络间谍组织APT28瞄准军事和政府机构
作者:星期四, 十月 11, 20180

因参与对美国总统大选机构进行网络攻击,APT28(又被称为“Swallowtail”或“奇幻熊”)在2016年登上媒体头条。赛门铁克发现,该组织在 2017 年和 2018 年再次发起攻击。

美国国土安全部 (DHS) 和联邦调查局 (FBI) 称,该网络间谍组织与俄罗斯政府关系密切,并于 2017 年和 2018 年重新开始在欧洲和南美洲收集秘密情报,将目标瞄准欧洲和南美洲的众多军事和政府机构。

  • 破坏性攻击的历史

APT28组织自2007年1月开始活跃,但未受到关注,直至在2016年美国总统大选前参与了一系列的网络攻击后,才得到大众及行业的重视。

从2016年春季起,APT28组织开始大量发送鱼叉式网络钓鱼电子邮件,针对包括民主党全国委员会(DNC)成员在内的政治目标。这些电子邮件的目的为诱骗收件人在虚假的网络邮件域中更改电子邮件密码。当获得密码后,该攻击组织会使用盗取的认证信息来访问民主党全国委员会网络,并在网络中安装恶意软件,跨网络移动并窃取包括大量电子邮件在内的各种数据。随后,APT28组织还将盗用信息公布于网络上。这些攻击标志着, APT28组织的战术发生变化 —— 从之前的低调收集情报转为公开的攻击活动,意图动摇和破坏受攻击的机构和国家。

不仅如此,该组织还公开承认对2016 年世界反兴奋剂机构 (WADA) 攻击事件和机密药检信息泄漏负责,并将相关信息公布到一个名为“奇幻熊”(Fancy Bears) 的网站上。奇幻熊是该组织广为使用的代号。

  • 遁入阴影

在2016年获得巨大的关注后,APT28组织在最近两年继续发起攻击。但自2017年初,该组织的活动变得更为隐蔽,主要以收集情报为目的。APT28 在最近两年所攻击的目标机构包括:

一家知名的国际机构
欧洲的军事目标
欧洲政府
一个南美国家政府
一家属于东欧国家的大使馆

  • 不断开发的攻击工具

APT28组织通过多个攻击工具对目标进行破坏,其中主要使用的恶意软件是 Sofacy,该软件有两个主要组件:Trojan.Sofacy(也被称为Seduploader)可在受感染计算机上执行基本侦察,并可下载更多恶意软件;Backdoor.SofacyX(也被称为 X-Agent)是第二阶段的恶意软件,可窃取受感染计算机的信息。该木马程序还有Mac版本 (OSX.Sofacy)。

APT28组织在过去两年中一直不断开发新的攻击工具,例如Trojan.Shunnael恶意软件(又名“X-Tunnel”)可使用加密通道访问受感染网络,对 .NET 进行重写。

除此之外,该组织还开始使用名为“Lojax”的UEFI rootkit。由于rootkit位于计算机的闪存中,因此,即便更换硬盘驱动器或重新安装操作系统,攻击者也能长期访问受感染的计算机。赛门铁克的产品可通过检测名称Trojan.Lojax阻止对Lojax的安装。

  • 可能与其他网络间谍活动有关联

另一家网络攻击组织Earworm(又被称为“Zebrocy”)自2016年5月以来一直保持活跃,并参与了针对欧洲、中亚和东亚军事目标的情报搜集行动。该组织使用鱼叉式网络钓鱼电子邮件来入侵目标并使用恶意软件进行感染。

Earworm组织使用两种恶意软件工具:Trojan.Zekapab下载器组件,能够执行基本的侦察功能并将其他恶意软件下载到受感染的计算机上;Backdoor.Zekapab能够截取屏幕截图,执行文件和命令,上传和下载文件,执行注册表和文件系统操作,以及执行系统信息任务。为了记录键盘和捕获密码,Earworm组织还会在受感染的计算机上安装其他工具。

2016 年,赛门铁克观察到 ,Earworm 组织使用的命令和控制(C&C) 基础设施与Grizzly Steppe组织所使用的 C&C 基础设施之间存在重叠,这意味着Earworm组织与APT28组织之间存在潜在联系。然而,这两个组织却是分开行动,因此,我们将两者作为不同的团伙进行跟踪。

  • 持续的威胁

目前赛门铁克了解到,在 2016 年底参与美国总统大选攻击后,APT28组织并没有因为遭受公开而受到影响,并且还在使用工具继续进行攻击,展开针对大量目标的情报收集行动。这样持续的活动以及该组织不断更新攻击工具的事实都意味着他们将继续对目标国家构成重大的潜在威胁。

  • 保护

为了保护用户免受到 APT28 的攻击,赛门铁克采取了以下保护:

Trojan.Sofacy
Backdoor.SofacyX
Infostealer.Sofacy
OSX.Sofacy
Trojan.Shunnael
Trojan.Lojax

  • 威胁情报

DeepSight Intelligence管理对手和威胁情报(MATI) 服务的客户已收到关于“Swallowtail”(也被称为“APT28”)的报告。该报告详细介绍检测和阻止该网络攻击组织的措施。

 

分享:

相关文章

写一条评论

 

 

0条评论