APT28最新活动动向以及感想

最近，ESET公司发布了APT28最新的活动动向

1.简介

APT28组织（又被称作：奇幻熊,Sednit,Sofacy,Pawn Storm,Group 74,Fancy Bear,STRONTIUM,Tsar Team,Threat Group-4127,TG-4127,Swallowtail,SIG40）自2004年以来一直在运营，并且在过去几年中经常成为头条新闻：它背后是一个高调的攻击组织。该组织对多个行业、多个国家的政府、公益组织机构进行攻击。例如，美国司法部将该组织命名为在2016年美国大选之前对民主党全国委员会（DNC）进行黑客攻击。该组织还被认为是全球电视网，世界反兴奋剂机构（WADA）电子邮件泄密以及许多其他人的黑客攻击。该小组在其武器库中拥有多种多样的恶意软件工具。

APT28近几年活动轨迹

在2018年8月，APT28的运营商部署了两个新的Zebrocy组件，从那时起我们看到了Zebrocy部署的增长。Zebrocy是一套下载器和后门; 当下载者正在进行侦察时，后门会对目标实施持久性和间谍活动。这些新组件使用一种不寻常的方式，通过使用与SMTP和POP3等邮件服务相关的协议来收集收集的信息。

2.受害者信息

这些新组件所针对的受害者类似于我们之前的Zebrocy帖子和卡巴斯基中提到的受害者。这种袭击的目标是中亚，以及中欧和东欧国家，特别是大使馆，外交部和外交官。

3.攻击途径

两年来，APT28组织主要使用网络钓鱼电子邮件作为活动的感染媒介。一旦目标受到损害，他们就会使用不同的第一阶段下载程序收集有关受害者的信息，如果受害者遭受感染，经过一段时间，APT28组织会部署一个二级后门。

Zebrocy活动的经典作案手法是让受害者收到附在电子邮件中的档案。该存档包含两个文件，一个是良性文档，另一个是恶意可执行文件。操作员试图通过模拟真实邮件的可执行文件来欺骗受害者。

4.总结

近年来APT28活动越来越频繁。而且APT组织的IP地址、域名和所使用的样本文件的更新也越来越频繁。如何有效的预防和检测APT，越来越困难。

针对已知威胁的攻击，传统的入侵检测系统仅能检测已知威胁，但现实网络环境面临的威胁往往过于复杂，譬如现在越来越多的APT攻击威胁，传统的防火墙设备、入侵检测系统都无法进行内容级和行为级别的检测，这就是我们常说的对未知威胁的防护。未知威胁包括未知安全漏洞与缺陷、未知木马行为与特征、未知攻击行为、加密内容、社会工程等攻击行为，其攻击的高级程度，不是通过编辑规则库所能完成，这也是基本上是大部分APT组织使用的攻击技术和手段。

目前我们的威胁确实越来越严峻，这就要求企业具备面对未知威胁与攻击的检测、发现的能力，可以通过文件威胁检测、大数据安全分析、漏洞攻击检测等恶意代码检测手段多管齐下，采用组合攻击检测手段，有效降低关键业务系统敏感信息、资料文档被APT组织窃取。避免导致国外政府背景的APT组织获取我关键机构的关键数据，导致国与国之间对抗失衡。

文章部分参考链接：https://www.welivesecurity.com/2018/11/20/sednit-whats-going-zebrocy/