「散彈式」攻擊！俄APT28黑客組織破天荒改變策略？

E安全6月11日訊 網路安全公司 Palo Alto 的研究人員發現，俄羅斯黑客組織 APT28 已經巧妙了改變了戰術，已從較為隱蔽的策略轉向「散彈式策略」（Shotgun Approach）,安全研究人員稱這種攻擊方式為「平行」攻擊。

散彈式策略：

通過不同的感染渠道部署不同的惡意軟體，這種策略通常是低水平網路犯罪分子為了不惜一切代價感染目標而常採用的策略。同時，散彈式策略會讓攻擊者更易被發現，因為安全軟體可在其攻擊期間獲得更多 Artifact（軟體開發過程中的有形產物）。高級持續性威脅（APT）組織通常不會採用散彈式策略。

APT28：

又被稱為Sofacy、 Sednit、Fancy Bear、Pawn Storm和 Tsar Team。

APT28瞄準大量用戶，提高感染率

Palo Alto 2018年6月6日發布報告指出，新型的「平行攻擊」與 APT28 之前的「套路」形成了鮮明的對比。

過去：在過去幾年裡，APT28 通常採用相同的利用鏈和相同的惡意軟體對組織機構內的少量用戶發起攻擊，該組織如今將目標瞄向大量用戶，而非少量關鍵人物。

現在：Palo Alto 的研究人員表示，APT28向大量目標發送網路釣魚電子郵件，並未精心選取目標，這些目標的電子郵箱可通過 Web 搜索引擎輕易找到。而在過去的活動中，APT28 通常會集中攻擊某個組織機構內的少量受害者。

安全研究人員還注意到，APT28 如今正在部署多種不同的攻擊方法，通過不同的惡意軟體感染受害者（有時會同時採用這兩種策略），因此研究人員將其稱之為「平行「攻擊。

特點：Zebrocy惡意軟體三個變種攻擊同一目標

Palo Alto 稱，已發現該組織使用魚叉式網路釣魚郵件傳播帶有宏的 Office 文檔、利用 DDE 漏洞的 Office 文檔和將可執行文件作為附件的電子郵件，APT28 在2017年曾頻繁利用「新聞事件」發起DDE攻擊。下載並運行這些誘餌文件的受害者會遭遇 Koadic 遠程訪問木馬或 Zebrocy 後門（三個版本中的其中一個版本）感染。

Zebrocy變種採用不同的編程語言

Zebrocy 三個版本使用不同的編程語言（分別為AutoIt、C++和Delphi）。APT28 組織在最近的攻擊中部署了 Zebrocy 這三個版本，有時還會利用這三個版本針對同一目標。這對 APT 組織而言是一種獨特的戰術，對 APT28 而言更是如此。

研究人員稱，他們在研究中尚未發現APT28 在同一起攻擊活動中使用多種語言開發的、針對同一操作系統的同一款軟體變種。但是，該組織至少在兩個實例中將現有的工具移植到一個全新的平台。因此，研究人員認為，APT28 有能力在攻擊期間轉換開發語言，甚至改變策略來完成任務。

外交事務組織機構遭遇「平行攻擊「

Palo Alto 表示，在近期針對處理外交事務相關政府組織機構的攻擊活動中，APT28 部署了「平行攻擊「策略，該組織並未重點攻擊某些國家，針對的是全球的外交事務相關組織機構。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/489946237.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！