APT 28 黑客组织 “平行攻击”全球所有外交事务机构

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

有名的俄罗斯国家黑客组织APT 28（或Sofacy、Sednit、Fancy Bear、Pawn Storm和Tsar Team）更改了其攻击手法，正在转向被Palo Alto网络公司称为“平行攻击”的技术。

这些新型的“平行攻击”和多家网络安全公司此前检测到的 APT 28 的攻击手法大不相同。过去，APT 28 主要是针对某个组织机构内的少量用户发动攻击，通常使用的是同样的利用链和恶意软件。

为提高感染率而扩充攻击武器库

Palo Alto 公司发布报告称，APT 28 的攻击手法变得比以前更加具有突击性质，类似于受经济利益驱动的黑客。

研究人员发现，APT 28 并未像以前那样针对的是某个组织机构内部的一些关键人物，而是针对大量受害者发动攻击。他们指出，被攻击的人员并未遵循任何显著模型，而且所发现的邮件地址可轻易从搜索引擎中找到。

使用多种感染链和恶意软件 payload

但是，除了攻击的目标用户数量比以前更多外，安全专家还发现 APT 28 使用多种恶意软件通过多种不同的攻击方法感染受害者，有时候同时使用这些攻击手法，因此得到“平行攻击”这一称号。

研究人员指出，APT 28 使用鱼叉式钓鱼邮件传播带有宏的 Office 文档。而这个 Office 文档利用一个有名的 DDE 利用，而邮件附件是经典的可执行文件。

受害者如下载并运行这些充满陷阱的文件，则会受到 Koadic 远程访问木马或 Zebrocy 后门三个版本中其中一个版本的感染。Zebrocy 后门的三个版本使用不同的语言 (AutoIt、C++ 和 Delphi) 编写而成，而且它们均被部署在最近的攻击中，有时候针对的是同样的目标组织机构。

这再次让 APT 28 引人注意，因为这对于 APT 组织而言非常少见，对于 APT 28 来说更是如此。

研究人员指出，并未发现 APT 28 使用为同样操作系统中以多种语言开发的同样工具的多个变体作为同一个攻击活动的一部分。然而，至少在两个实例中，攻击者将一个现有工具导入完全新型的平台上，导致研究人员认为攻击者能够在攻击中变换不同的开发语言，甚至更改攻击技术从而最终实现目的。

针对从事外交事务的组织机构

如之前所述，通过不同的感染链部署不同的恶意软件这种突击手段并非 APT 组织通常使用的手法，它一般是由低层次网络犯罪分子不计一切代价感染受害者选择的攻击方法。

原因在于，通过平行利用链实施攻击的方法导致攻击者更易被检测到，因为安全软件在攻击过程中更容易发现其中的组件，而在仔细部署的单向方法中能被检测到的组件数量更少。

研究人员表示，APT28 针对的主要是处理外交事务的政府组织机构。APT 28 针对的并非某些特定的国家，而是全球所有的外交事务组织机构，从北美到亚洲不一而足。

https://www.bleepingcomputer.com/news/security/sofacy-apt-has-subtly-changed-tactics/