俄羅斯四大APT組織及其常用攻擊策略和技術 - 網安 - 專業的網絡安全產業、社區、知識平臺

針對俄烏戰爭期間俄羅斯網絡攻擊風險增加，美國網絡安全公司Logichub梳理俄羅斯知名APT組織及其常見攻擊策略和技術。具體包括：

一是APT28（又名“奇幻熊”）。該組織與俄羅斯總參謀部軍事情報總局（GRU）第26165部隊有關，自2004年左右開始運作，經常針對大型政府和國際活動開展攻擊活動。APT28攻擊方式大膽激進，會直接針對遠程代碼執行零日等重大漏洞進行攻擊，或通過魚叉式網絡釣魚獲取管理員憑據，其所用工具包括惡意軟件Zebrocy以及后門程序CHOPSTICK和CORESHELL。

二是APT29（又名“舒適熊”）。該組織與俄羅斯對外情報局有關，自2008年左右開始運作，因SolarWinds和StellarParticle攻擊活動而聞名，攻擊目標遍及全球大部分地區。該組織專注于竊取數據，攻擊方式較為“溫和安靜”，首選攻擊工具為Duke惡意軟件變種。

三是Indrik Spider（又名Evil Corp）。該組織以運作Dridex銀行木馬和BitPaymer勒索軟件而聞名，具有攻擊大多數高價值行業的潛力。Dridex使用大量后門工具，包括用于劫持瀏覽器會話、通過受害計算機進行代理以及躲避惡意軟件分析程序；BitPaymer可通過擦除和重置來扎根于受害計算機。

四是沙蟲團隊（Sandworm Team）。該組織隸屬于俄羅斯GRU的特殊技術主要中心（GTsST）軍事單位74455，自2009年開始活躍。該組織是高度組織化的團隊，攻擊方式類似于APT28，有時甚至直接與APT28合作。該組織曾利用勒索軟件NotPetya以及惡意軟件Olympic Destroyer和Black Energy開展攻擊活動。

俄羅斯高級持續性威脅（APT）對網絡安全團隊來說是一個沉重的負擔，俄烏戰爭已將風險和令人難以置信的進展速度置于俄羅斯網絡攻擊的前沿和中心，互聯網的大部分都陷入交火之中。

01 APT簡史

通過數字媒體開展的間諜活動大約是在計算機逐漸普及時開始的，但高級持續威脅（APT）的概念相對較新。

根據美國學者理查德·貝特利奇關于該主題的論文，“美國空軍于2006年創造了‘高級持續威脅’（APT）一詞，因為在空軍團隊需要一種與非機密公共世界中的同行交流的方式。”雖然從那時起，APT在業內屢見不鮮，但該詞直到2010年谷歌服務器遭攻擊才被公眾知曉。自此，APT成為一個被大量使用的流行術語。

02 什么是APT？

對大多數人來說，“高級持續威脅”（APT）的概念有點抽象。尤其是在常規媒體中廣泛使用該術語時，很難理解哪些攻擊是由APT引起的，哪些不是。

美國國家標準與技術研究所（NIST）的計算機安全資源中心將APT定義如下：

“一個擁有復雜專業知識和大量資源的對手，使其能夠通過使用多種不同攻擊媒介（例如網絡、物理和欺騙）來創造實現其目標的機會，上述目標通常是在機構信息技術基礎設施中建立和擴展立足點，目的是不斷竊取信息和/或破壞或阻礙任務、計劃或組織的關鍵方面，或使其自身處于將來能夠這樣做的位置；此外，高級持續性威脅在很長一段時間內反復追求其目標，適應防御者抵抗它的努力，并決心保持執行其目標所需的交互水平。”

揭開這個大定義的神秘面紗，APT可以用一些簡單的特征來分解：

動機：APT朝著單一的、有針對性的目標發揮作用：他們的目標所在的路徑。這種關注可能是意識形態的或好戰的，但總是以理想為中心。APT執行的操作可能與其他類型的威脅一致，但它們的主要目標將保持不變。
技能：APT在技能和能力方面排名接近頂級。他們往往擁有優秀的資源，然后將這些資源投入到遠遠高于普通威脅行為者的技術中。他們可能有高額資金，或者他們可能有很強的意識形態紐帶。無論哪種方式，他們都會在橫跨網絡殺傷鏈模型的多個階段產生高質量的攻擊。與其他類型的威脅行為者相比，他們的計劃是無與倫比的。
重點：APT不會從攻擊中中斷——因此而具有持續性。如果一種策略不起作用，他們可能會轉向另一種策略。他們可能一段時間內在監控中沒有表現出活動，但這并不意味著他們已經放棄了。APT喜歡在計劃的激活時間前保持休眠狀態，以最大限度地提高效率。

APT是真正的終極對手，這就是為什么跟蹤他們的動作和能力對于適當的防御至關重要。

03 已知俄羅斯APT團體

有許多俄羅斯APT具有不同的攻擊目標。大多數比較著名的俄羅斯APT都在MITRE ATT&CK框架的“團體”分類中進行了詳細說明。團體經常更改名稱，因此大多數團體都在一個主要標簽下歸檔，以跟蹤其行動。一些重要且值得注意的條目包括：

APT28又名FancyBear：此APT與俄羅斯總參謀部軍事情報總局（GRU）第26165部隊有關。自2004年左右開始運作，APT28經常針對大型政府和國際行動的內幕信息。針對格魯吉亞和東歐內政部、歐洲航展和國防演示、美國國防承包商、多次美國總統選舉和美國能源部門開展多次嘗試，APT28工具集迅速發展，表明熟練的開發人員和研究人員組成了一個令人難以置信的聯盟。
APT29又名CozyBear：此APT與俄羅斯對外情報局有關。該組織因SolarWinds和StellarParticle攻擊活動而聞名，自2008年左右開始運作，其目標遍及全球大部分地區，包括美國民主黨和共和黨全國委員會。該組織甚至被指控攻擊新冠疫苗機構。他們非常關注數據泄露，選擇較APT28更溫和、更安靜的攻擊。
Indrik Spider又名Evil Corp：Indrik Spider是一個位于俄羅斯的APT，作為Dridex銀行木馬和BitPaymer勒索軟件背后的組織而聞名。該組織成功地襲擊了英國國家醫療服務體系，從每個受害者平均獲利20萬美元。他們的攻擊正在變得更好地迎合每個受害者，而且他們的成功似乎表明未來對大型企業的高價值目標獵殺會進一步增加。
沙蟲團隊（Sandworm Team）：至少從2009年開始活躍，該APT是另一個與俄羅斯GRU相關的團隊，甚至直接與APT28合作。該組織隸屬于GRU的特殊技術主要中心（GTsST）軍事單位74455，曾開展NotPetya勒索軟件活動和針對在韓國平昌舉行的2018年冬季奧運會的Olympic Destroyer攻擊。他們是一個高度組織化的團隊，似乎選擇像APT28那樣大張旗鼓的操作。

關于APT需要記住的重要一點是，它們通常與政府或軍隊結盟，但它們也可能由擁有比其他威脅行為者更先進資源的參與公民組成。

04 常見APT攻擊策略和技術

APT通常有一個開發團隊來創建針對性工具或惡意軟件來推進其操作。盡管惡意軟件通常專門針對目標，但它們通常在由單個APT團體制作時具有相似特征。根據MITRE ATT&CK框架條目和對上述APT的一系列獨立工具分析，它們的攻擊特征和最常用的工具如下：

APT28：APT28喜歡快速攻擊，從大張旗鼓的攻擊開始，以獲得諸如暴力破解和DDoS等訪問權限。APT28不會像許多其他APT那樣費心等待。相反，他們直接針對遠程代碼執行零日等重大漏洞進行攻擊，或者通過魚叉式網絡釣魚獲取管理員憑據，闖進入目標網絡的前門，然后繼續對大型且有價值的目標進行攻擊。他們創建的軟件包括用于攻擊北約成員并泄露活動截圖的Zebrocy，以及CHOPSTICK和CORESHELL后門程序。
APT29：APT29更喜歡復雜、安靜的數據泄露技術。例如，在新冠疫苗開發的高峰期，APT29使用其WellMess惡意軟件執行shell命令并執行與目標疫苗研究端點間的文件傳輸。目前，Duke惡意軟件變種是APT29的首選武器，它們的集體使用被稱為“幽靈行動”（Operation Ghost）。橫向移動是這種惡意軟件的特性，使用單個成功入侵賬戶的憑據一臺接一臺地接管機器。然后，它提供了一個強大的后門套件，以方便訪問受害機器。
Indrik Spider：雖然沒有本次細分中的其他一些APT那樣龐大和危險，但Indrik Spider也同樣具有威脅性，尤其是對于較大型機構。憑借Dridex等復雜的銀行木馬和BitPaymer等勒索軟件，Indrik Spider具有攻擊大多數高價值行業的潛力。Dridex使用大量后門工具，包括用于劫持瀏覽器會話、通過受害計算機進行代理以及躲避惡意軟件分析程序。BitPaymer在2017年攻擊英國醫院時被首次發現，其獨特之處在于每次操作使用唯一的加密密鑰、贖金記錄和聯系信息。它還具有一系列持續性工具，可通過擦除和重置幫助扎根受害計算機。
Sandworm Team：此APT使用BlackEnergy工具直接攻擊工業控制系統和其他類似關鍵基礎設施，該工具導致2015年烏克蘭電網中斷，也是此類攻擊中的首次。Sandworm Team似乎專門針對烏克蘭。BlackEnergy使用Word文檔中的宏來投放文件以保持持續性，然后連接到命令和控制服務器。BlackEnergy包含后門進入服務器（具有遠程桌面查看器和間諜功能）、網絡掃描、快速傳播甚至破壞的功能。