卡巴斯基实验室研究人员观察到说俄语的威胁攻击组织Sofacy(又被称为APT28或Fancy Bear)将其攻击重点转移到远东地区,除了还攻击与北大西洋公约组织(NATO)相关的目标外,还对军事、防御和外交机构特别感兴趣。
卡巴斯基实验室研究人员观察到说俄语的威胁攻击组织Sofacy(又被称为APT28或Fancy Bear)将其攻击重点转移到远东地区,除了还攻击与北大西洋公约组织(NATO)相关的目标外,还对军事、防御和外交机构特别感兴趣。研究人员发现在攻击对象方面,Sofacy有时候会与其他威胁攻击组织重叠,包括说俄语的Turla和说中文的Danti。最有趣的是,他们发现在一台之前被说英语的威胁攻击组织Lambert感染的服务器上发现了Sofacy后门程序。
Sofacy是一个高度活跃和多产的网络间谍组织,卡巴斯基实验室的研究人员多年来一直在追踪该组织。今年2月,卡巴斯基实验室发布了2017年Sofacy的活动概述,揭示Sofacy的攻击重点逐渐从NATO相关的目标转移到中东、中亚以及其它地区。Sofacy使用鱼叉式钓鱼攻击,有时候还会利用水坑攻击来窃取信息,包括账户登录凭证、敏感的通讯内容和文档。还怀疑它像多个目标释放破坏性的有效载荷。
新的研究结果表明,Sofacy不是唯一肆虐这些地区的掠食者,而且这有时会导致与其他威胁攻击者之间的目标重叠。在Sofacy攻击中,研究人员发现其Zebrocy恶意软件与说俄语的Mosquito Turla攻击组织争夺受害者的场景;还有其SPLM后门程序与传统的Turla和硕中文的攻击组织Danti进行竞争。他们共同的攻击目标包括中亚地区的政府管理机构、技术机构、科学和军事相关组织。
有些情况下,被攻击目标似乎同时受到来自SPLM和Zebrocy的单独攻击。但是,最有趣的叠加可能出现在Sofacy和Lamberts幕后的说英语的威胁攻击组织之间。这种联系是在研究人员在一台服务器检测到Sofacy存在之后发现的,因为威胁情报之前已经确认这台服务器已经被Grey Lambert恶意软件所感染。该服务器属于一家中国的企业集团,该集团是从事设计和制造航空航天以及防空技术的。
然而,在这个例子中,Sofacy的原始SPLM释放手段仍然未知。 这引起许多假设的可能性,包括Sofacy可能正在使用一个新的但尚未被发现的漏洞利用程序或其后门的新应变; 或者Sofacy设法利用了Gray Lambert的通讯渠道下载其恶意软件。甚至可能意味着Sofacy感染迹象可能是伪旗行动。研究人员认为,答案最可能是攻击者利用了未知的新PowerShell脚本或合法但易受攻击的Web应用来加载和执行SPLM代码。 目前研究仍在进行中。
“Sofacy有时候被描绘成是疯狂的,但是根据我们的观察,该攻击组织可以说是实用主义、慎重和灵活的。他们在远东的行为基本上没有得到充分报道,但很显然他们不是唯一对这一地区感兴趣的威胁攻击组织,或者对相同目标感兴趣的组织。随着威胁环境变得更为拥挤和复杂,我们可能会遇到更多攻击目标重叠的例子,这可能也解释了为什么很多威胁攻击组织会在发动自己的攻击之前,检查受害者系统是否有其他入侵者存在的原因,”卡巴斯基实验室首席安全研究员Kurt Baumgartner说。
研究人员还发现现在Sofacy还为其每个主要工具保留了不同的分支,其中包括用于SPLM(也称为CHOPSTICK和Xagent),GAMEFISH和Zebrocy的编码,开发和定位的集群。SPLM被认为是Sofacy首要的最常用的第三阶段工具,而Zebrocy则用于大容量的攻击。根据研究人员介绍,2018年初,Sofacy利用SPLM对中国反攻相关的大型商业机构进行了攻击,同时在亚美尼亚、土耳其、哈萨克斯坦、塔吉克斯坦、阿富汗、蒙古、中国和日本更广泛地部署了Zebrocy。
所有卡巴斯基实验室产品都能够成功检测和拦截所有已知Sofacy攻击,要清除某些更顽固的感染可能需要重启系统。
对于受影响地区的军队、防御和外交相关业务的组织,卡巴斯基实验室建议采取以下措施,避免成为高级针对性攻击的受害者:
- 使用经过验证的结合了反针对性攻击技术和威胁情报技术的企业级安全解决方案,例如卡巴斯基威胁管理和防御解决方案。这些解决方案能够通过分析网络异常情况来发现和拦截高级有针对性攻击,能够让网络安全团队全面了解网络并实现自动化响应;
- 为安全人员提供最新的威胁情报数据,获得有用的工具进行针对性攻击研究和预防,例如感染迹象(IOC)、YARA规则和定制化的高级威胁报告;
- 如果发现有针对性攻击的早期迹象,请考虑使用托管保护服务,让您能够主动检测高级威胁,缩短停留时间并及时安排事件响应。
有关Sofacy2018年的活动详情以及其工具演化的技术信息,请参阅Securelist.com
