更多全球網絡安全資訊盡在E安全官網www.easyaq.com
E安全6月11日訊 網絡安全公司 Palo Alto 的研究人員發現,俄羅斯黑客組織 APT28 已經巧妙了改變了戰術,已從較為隱蔽的策略轉向“
散彈式策略”(Shotgun Approach),安全研究人員稱這種攻擊方式為“平行”攻擊。散彈式策略:
通過不同的感染渠道部署不同的惡意軟件,這種策略通常是低水平網絡犯罪分子為了不惜一切代價感染目標而常採用的策略。同時,散彈式策略會讓攻擊者更易被發現,因為安全軟件可在其攻擊期間獲得更多 Artifact(軟件開發過程中的有形產物)。高級持續性威脅(APT)組織通常不會採用散彈式策略。
APT28:
又被稱為 Sofacy、 Sednit、Fancy Bear、Pawn Storm和 Tsar Team。
APT28瞄準大量用戶,提高感染率
Palo Alto 2018年6月6日發佈報告指出,新型的“平行攻擊”與 APT28 之前的“套路”形成了鮮明的對比。
過去:在過去幾年裡,APT28 通常採用相同的利用鏈和相同的惡意軟件對組織機構內的少量用戶發起攻擊,該組織如今將目標瞄向大量用戶,而非少量關鍵人物。
現在:Palo Alto 的研究人員表示,APT28 向大量目標發送網絡釣魚電子郵件,並未精心選取目標,這些目標的電子郵箱可通過 Web 搜索引擎輕易找到。而在過去的活動中,APT28 通常會集中攻擊某個組織機構內的少量受害者。
安全研究人員還注意到,APT28 如今正在部署多種不同的攻擊方法,通過不同的惡意軟件感染受害者(有時會同時採用這兩種策略),因此研究人員將其稱之為“平行“攻擊。
特點:Zebrocy惡意軟件三個變種攻擊同一目標
Palo Alto 稱,已發現該組織使用魚叉式網絡釣魚郵件傳播帶有宏的 Office 文檔、利用 DDE 漏洞的 Office 文檔和將可執行文件作為附件的電子郵件,APT28 在2017年曾頻繁利用“新聞事件”發起DDE攻擊。下載並運行這些誘餌文件的受害者會遭遇 Koadic 遠程訪問木馬或 Zebrocy 後門(三個版本中的其中一個版本)感染。
Zebrocy變種採用不同的編程語言
Zebrocy 三個版本使用不同的編程語言(分別為AutoIt、C++和Delphi)。APT28 組織在最近的攻擊中部署了 Zebrocy 這三個版本,有時還會利用這三個版本針對同一目標。這對 APT 組織而言是一種獨特的戰術,對 APT28 而言更是如此。
研究人員稱,他們在研究中尚未發現 APT28 在同一起攻擊活動中使用多種語言開發的、針對同一操作系統的同一款軟件變種。但是,該組織至少在兩個實例中將現有的工具移植到一個全新的平臺。因此,研究人員認為,APT28 有能力在攻擊期間轉換開發語言,甚至改變策略來完成任務。
外交事務組織機構遭遇“平行攻擊“
Palo Alto 表示,在近期針對處理外交事務相關政府組織機構的攻擊活動中,APT28 部署了“平行攻擊“策略,該組織並未重點攻擊某些國家,針對的是全球的外交事務相關組織機構。
閱讀更多 E安全 的文章
