“散弹式”攻击!俄APT28黑客组织破天荒改变策略?

 

近期外交事务组织机构遭遇APT28的“平行攻击“...

更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全6月11日讯 网络安全公司 Palo Alto

的研究人员发现,俄罗斯黑客组织  APT28 已经巧妙了改变了战术,已从较为隐蔽的策略转向“散弹式策略”(Shotgun Approach),安全研究人员称这种攻击方式为“平行”攻击

散弹式策略:

通过不同的感染渠道部署不同的恶意软件,这种策略通常是低水平网络犯罪分子为了不惜一切代价感染目标而常采用的策略。同时,散弹式策略会让攻击者更易被发现,因为安全软件可在其攻击期间获得更多

Artifact(软件开发过程中的有形产物)。高级持续性威胁(APT)组织通常不会采用散弹式策略。

APT28:

又被称为Sofacy、 Sednit、Fancy Bear、Pawn Storm和 Tsar

Team。


APT28瞄准大量用户,提高感染率

Palo Alto 2018年6月6日发布报告指出,新型的“平行攻击”与 APT28 之前的“套路”形成了鲜明的对比。

过去:在过去几年里,APT28 通常采用相同的利用链和相同的恶意软件对组织机构内的少量用户发起攻击,该组织如今将目标瞄向大量用户,而非少量关键人物。

现在:Palo Alto 的研究人员表示,APT28
向大量目标发送网络钓鱼电子邮件,并未精心选取目标,这些目标的电子邮箱可通过 Web 搜索引擎轻易找到。而在过去的活动中,APT28 通常会集中攻击某个组织机构内的少量受害者。

安全研究人员还注意到,APT28 如今正在部署多种不同的攻击方法,通过不同的恶意软件感染受害者(有时会同时采用这两种策略),因此研究人员将其称之为“平行“攻击。

特点:Zebrocy恶意软件三个变种攻击同一目标

Palo

Alto 称,已发现该组织使用鱼叉式网络钓鱼邮件传播带有宏的 Office 文档、利用 DDE 漏洞的 Office

文档和将可执行文件作为附件的电子邮件,APT28 在2017年曾频繁利用“新闻事件”发起DDE攻击。下载并运行这些诱饵文件的受害者会遭遇 Koadic 远程访问木马或 Zebrocy

后门(三个版本中的其中一个版本)感染。
Zebrocy变种采用不同的编程语言

Zebrocy

三个版本使用不同的编程语言(
分别为AutoIt、C++和Delphi)。APT28 组织在最近的攻击中部署了 Zebrocy

这三个版本,有时还会利用这三个版本针对同一目标。这对 APT 组织而言是一种独特的战术,对 APT28 而言更是如此。

研究人员称,他们在研究中尚未发现
APT28

在同一起攻击活动中使用多种语言开发的、针对同一操作系统的同一款软件变种。但是,该组织至少在两个实例中将现有的工具移植到一个全新的平台。因此,研究人员认为,APT28

有能力在攻击期间转换开发语言,甚至改变策略来完成任务。

外交事务组织机构遭遇“平行攻击“

Palo Alto 表示,在近期针对处理外交事务相关政府组织机构的攻击活动中,APT28 部署了“平行攻击“策略,该组织并未重点攻击某些国家,针对的是全球的外交事务相关组织机构。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/489946237.shtml

推荐阅读:

  • 俄黑客组织APT28被指劫持LoJack软件窃取数据
  • APT28盯上美国科学家,无人机等机密技术或泄露
  • APT28攻击国际奥委会官员为俄罗斯发声
  • 俄黑客组织APT28利用“新闻事件”频繁发起DDE攻击
  • 俄黑客组织APT28攻击乌克兰火炮控制程序更多细节
  • 乌克兰:“坏兔子”勒索攻击幕后黑手是俄罗斯APT28
  • 俄罗斯黑客组织APT28的新目标:黑山政府




▼点击“阅读原文” 查看更多精彩内容


    关注 E安全


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册