继2016年入侵民主党全国委员会(DNC)的网络和服务器之后,与俄罗斯有联系的间谍组织Cozy Bear(也称为APT29和Dukes)一直致力于避免安全公司的关注,但近期仿佛经过冬眠之后,该组织再次活跃起来了。
根据安全公司ESET今天发布的报告,APT29近期恢复并重建了大部分工具,并正在使用加密通信方式(例如在图像中隐藏信息和命令,隐写技术),来规避安全公司检测。不完全分析,该组织已经入侵了三个欧洲国家的外交部以及一个欧盟成员国的美国使馆。
恶意软件研究人员Matthieu Faou说:“即使该组织几年来都规避了公众审查,但他们实际上还是非常积极地入侵了高价值目标,并开发了新工具。” “从2008年(或2009年)开始,它们已经运行了大约10年,几乎一直活跃。”
随着美国开始新的选举周期临近,网络攻击的迹象已引起越来越多的关注。除政府外,该组织还针对与北约,智库和政党有联系的各种组织发起了攻击。这表明,APT组织对收集信息有浓厚的兴趣,以便更好地了解未来的国际政治走向,这对政府来说似乎十分重要。
ESET报告并不是将攻击归因于该组织的唯一机构。 2018年,FireEye曾将来针对美国国务院的网络钓鱼攻击与APT29关联起来,这些攻击企图破坏政府,国防,医药和运输部门的系统。
据分析,攻击者使用了的工具和技术,与“APT29”组织有着深层的“基因”联系,且这一波次攻击中APT组织开始启用了一些特殊加密通道,或新的公开渠道。
例如:使用Twitter,Imgur和Reddit作为在受到入侵后立即向系统发出命令的主要方式。 Cozy Bear使用算法生成器生成新的Twitter句柄,受感染的机器将从中获取加密的URL。
该组织还使用OneDrive等公共云服务,将通信隐藏在合法服务中。同时,该APT组织还常会将数据隐藏在图像内部,这很难检测。
隐写技术的实施非常复杂,并不常见,很难检测,因为即使在更改图像以包含命令或有效载荷之后,仅查看网络流量,很难检测到可疑攻击行为正在进行。
此外,该组织在其当前活动中正在使用三个新的恶意软件家族,这些组织被ESET称为PolyglotDuke,RegDuke和FatDuke。ESET还发现了第四个恶意软件样本LiteDuke,该样本用于以前未曾描述的较早的活动中。
PolyglotDuke使用Twitter和其他网站获取命令和控制服务器的地址。RegDuke通过隐藏在注册表中并使用Dropbox重建与攻击者控制的服务器的连接来建立持久性。
FatDuke是安装在MiniDuke后门之后的客户端,具有很多功能,并且使用混淆处理使其代码,使得难以解密分析。
MiniDuke后门,可在初始感染后安装该后门,并允许攻击者向受感染的系统发出命令。
该APT组织还广泛使用凭据在整个网络中“漫游”,从而在受害者响应事件的同时损害其他系统,并重新感染系统。
ESET报告中称:“在应对Dukes时,确保在短时间内移除所有植入物非常重要。” “否则,攻击者将使用剩下的任何植入物再次危害清洁的系统。”
