卡巴斯基实验室监控、报告并防御的威胁攻击者数量众多,有些在国际上赫赫有名,有时在新闻中被特别报道。不管威胁攻击者说的是哪国语,我们都有责任了解和调查并为客户提供相应的防御措施。
其中一个最活跃的威胁攻击者是一个讲俄语的高级持续威胁(APT)组织,名叫Sofacy,又被称为APT28、Fancy Bear和Tsar Team。该组织以鱼叉式网络钓鱼活动和网络间谍活动而臭名远扬。2017年,该组织的攻击重点发生转移,值得在此一提。
我们从2011年开始一直密切关注Sofacy,对该威胁攻击组织采用的手段和策略十分熟悉。2017年,该组织的主要变化是攻击范围扩大,年初鱼叉式网络钓鱼攻击地主要是北约诸国,到第二季度已经扩大到中东和亚洲国家,甚至更远的国家。早些时候,Sofacy还曾把奥运会、世界反运动禁药机构(WADA)和国际体育仲裁院(CAS)作为攻击目标。
Sofacy针对不同的目标情况运用不同的工具。例如,2017年初,该组织发动了一场名为”经销商选择”的攻击活动,主要针对全球的军事机构和外交机构(以北约各国和乌克兰为主);后来,攻击者又运用了另外两种工具(我们称之为Zebrocy和SPLM),针对不同领域的公司(包括科学和工程中心以及新闻服务在内)发动攻击。Zebrocy和SPLM去年已经有了大幅修改,SPLM(也称为Chopsticks)逐渐实现模块化,并采用了加密通信。
常见的感染伎俩一开始是发送含有脚本文件的鱼叉式网络钓鱼信件,通过该脚本可下载有效负载。Sofacy以发现和利用零日漏洞来提供有效负载而闻名。威胁攻击者有着高水平的操作安全性,非常重视隐藏自己恶意软件的行踪 – 当然,这也让调查该恶意软件困难重重。
对于Sofacy等高度复杂的针对性攻击活动,进行彻底的事件调查至关重要。通过调查,可以确定犯罪分子要寻找的信息,了解他们的动机,检测是否有任何睡眠植入程序的存在。
为此,您的安全系统不仅需要高级防御解决方案,还需要终端检测和响应系统。这样的系统可以在早期阶段检测到威胁,并帮助分析攻击事件发生前的事件。技术娴熟的专家也不会因此受到伤害。我们提供的解决方案是威胁管理和防御平台,该平台融合了卡巴斯基反针对性攻击、卡巴斯基安全网络以及专家服务。
您可以在 Securelist上找到关于2017年更多威胁攻击者活动的信息,包括技术细节。此外,今年年初,我们的研究人员发现Sofacy行为发和生了一些有趣的转变,这个将在SAS 2018大会上重点讨论。如果你对APT感兴趣并想构建相应的防御措施,别忘了获得一张大会的门票 – 或者至少在SAS期间经常来看看我们的博客。