俄罗斯四大APT组织及其常用攻击策略和技术 - 网安 - 专业的网络安全产业、社区、知识平台

针对俄乌战争期间俄罗斯网络攻击风险增加，美国网络安全公司Logichub梳理俄罗斯知名APT组织及其常见攻击策略和技术。具体包括：

一是APT28（又名“奇幻熊”）。该组织与俄罗斯总参谋部军事情报总局（GRU）第26165部队有关，自2004年左右开始运作，经常针对大型政府和国际活动开展攻击活动。APT28攻击方式大胆激进，会直接针对远程代码执行零日等重大漏洞进行攻击，或通过鱼叉式网络钓鱼获取管理员凭据，其所用工具包括恶意软件Zebrocy以及后门程序CHOPSTICK和CORESHELL。

二是APT29（又名“舒适熊”）。该组织与俄罗斯对外情报局有关，自2008年左右开始运作，因SolarWinds和StellarParticle攻击活动而闻名，攻击目标遍及全球大部分地区。该组织专注于窃取数据，攻击方式较为“温和安静”，首选攻击工具为Duke恶意软件变种。

三是Indrik Spider（又名Evil Corp）。该组织以运作Dridex银行木马和BitPaymer勒索软件而闻名，具有攻击大多数高价值行业的潜力。Dridex使用大量后门工具，包括用于劫持浏览器会话、通过受害计算机进行代理以及躲避恶意软件分析程序；BitPaymer可通过擦除和重置来扎根于受害计算机。

四是沙虫团队（Sandworm Team）。该组织隶属于俄罗斯GRU的特殊技术主要中心（GTsST）军事单位74455，自2009年开始活跃。该组织是高度组织化的团队，攻击方式类似于APT28，有时甚至直接与APT28合作。该组织曾利用勒索软件NotPetya以及恶意软件Olympic Destroyer和Black Energy开展攻击活动。

俄罗斯高级持续性威胁（APT）对网络安全团队来说是一个沉重的负担，俄乌战争已将风险和令人难以置信的进展速度置于俄罗斯网络攻击的前沿和中心，互联网的大部分都陷入交火之中。

01 APT简史

通过数字媒体开展的间谍活动大约是在计算机逐渐普及时开始的，但高级持续威胁（APT）的概念相对较新。

根据美国学者理查德·贝特利奇关于该主题的论文，“美国空军于2006年创造了‘高级持续威胁’（APT）一词，因为在空军团队需要一种与非机密公共世界中的同行交流的方式。”虽然从那时起，APT在业内屡见不鲜，但该词直到2010年谷歌服务器遭攻击才被公众知晓。自此，APT成为一个被大量使用的流行术语。

02 什么是APT？

对大多数人来说，“高级持续威胁”（APT）的概念有点抽象。尤其是在常规媒体中广泛使用该术语时，很难理解哪些攻击是由APT引起的，哪些不是。

美国国家标准与技术研究所（NIST）的计算机安全资源中心将APT定义如下：

“一个拥有复杂专业知识和大量资源的对手，使其能够通过使用多种不同攻击媒介（例如网络、物理和欺骗）来创造实现其目标的机会，上述目标通常是在机构信息技术基础设施中建立和扩展立足点，目的是不断窃取信息和/或破坏或阻碍任务、计划或组织的关键方面，或使其自身处于将来能够这样做的位置；此外，高级持续性威胁在很长一段时间内反复追求其目标，适应防御者抵抗它的努力，并决心保持执行其目标所需的交互水平。”

揭开这个大定义的神秘面纱，APT可以用一些简单的特征来分解：

动机：APT朝着单一的、有针对性的目标发挥作用：他们的目标所在的路径。这种关注可能是意识形态的或好战的，但总是以理想为中心。APT执行的操作可能与其他类型的威胁一致，但它们的主要目标将保持不变。
技能：APT在技能和能力方面排名接近顶级。他们往往拥有优秀的资源，然后将这些资源投入到远远高于普通威胁行为者的技术中。他们可能有高额资金，或者他们可能有很强的意识形态纽带。无论哪种方式，他们都会在横跨网络杀伤链模型的多个阶段产生高质量的攻击。与其他类型的威胁行为者相比，他们的计划是无与伦比的。
重点：APT不会从攻击中中断——因此而具有持续性。如果一种策略不起作用，他们可能会转向另一种策略。他们可能一段时间内在监控中没有表现出活动，但这并不意味着他们已经放弃了。APT喜欢在计划的激活时间前保持休眠状态，以最大限度地提高效率。

APT是真正的终极对手，这就是为什么跟踪他们的动作和能力对于适当的防御至关重要。

03 已知俄罗斯APT团体

有许多俄罗斯APT具有不同的攻击目标。大多数比较著名的俄罗斯APT都在MITRE ATT&CK框架的“团体”分类中进行了详细说明。团体经常更改名称，因此大多数团体都在一个主要标签下归档，以跟踪其行动。一些重要且值得注意的条目包括：

APT28又名FancyBear：此APT与俄罗斯总参谋部军事情报总局（GRU）第26165部队有关。自2004年左右开始运作，APT28经常针对大型政府和国际行动的内幕信息。针对格鲁吉亚和东欧内政部、欧洲航展和国防演示、美国国防承包商、多次美国总统选举和美国能源部门开展多次尝试，APT28工具集迅速发展，表明熟练的开发人员和研究人员组成了一个令人难以置信的联盟。
APT29又名CozyBear：此APT与俄罗斯对外情报局有关。该组织因SolarWinds和StellarParticle攻击活动而闻名，自2008年左右开始运作，其目标遍及全球大部分地区，包括美国民主党和共和党全国委员会。该组织甚至被指控攻击新冠疫苗机构。他们非常关注数据泄露，选择较APT28更温和、更安静的攻击。
Indrik Spider又名Evil Corp：Indrik Spider是一个位于俄罗斯的APT，作为Dridex银行木马和BitPaymer勒索软件背后的组织而闻名。该组织成功地袭击了英国国家医疗服务体系，从每个受害者平均获利20万美元。他们的攻击正在变得更好地迎合每个受害者，而且他们的成功似乎表明未来对大型企业的高价值目标猎杀会进一步增加。
沙虫团队（Sandworm Team）：至少从2009年开始活跃，该APT是另一个与俄罗斯GRU相关的团队，甚至直接与APT28合作。该组织隶属于GRU的特殊技术主要中心（GTsST）军事单位74455，曾开展NotPetya勒索软件活动和针对在韩国平昌举行的2018年冬季奥运会的Olympic Destroyer攻击。他们是一个高度组织化的团队，似乎选择像APT28那样大张旗鼓的操作。

关于APT需要记住的重要一点是，它们通常与政府或军队结盟，但它们也可能由拥有比其他威胁行为者更先进资源的参与公民组成。

04 常见APT攻击策略和技术

APT通常有一个开发团队来创建针对性工具或恶意软件来推进其操作。尽管恶意软件通常专门针对目标，但它们通常在由单个APT团体制作时具有相似特征。根据MITRE ATT&CK框架条目和对上述APT的一系列独立工具分析，它们的攻击特征和最常用的工具如下：

APT28：APT28喜欢快速攻击，从大张旗鼓的攻击开始，以获得诸如暴力破解和DDoS等访问权限。APT28不会像许多其他APT那样费心等待。相反，他们直接针对远程代码执行零日等重大漏洞进行攻击，或者通过鱼叉式网络钓鱼获取管理员凭据，闯进入目标网络的前门，然后继续对大型且有价值的目标进行攻击。他们创建的软件包括用于攻击北约成员并泄露活动截图的Zebrocy，以及CHOPSTICK和CORESHELL后门程序。
APT29：APT29更喜欢复杂、安静的数据泄露技术。例如，在新冠疫苗开发的高峰期，APT29使用其WellMess恶意软件执行shell命令并执行与目标疫苗研究端点间的文件传输。目前，Duke恶意软件变种是APT29的首选武器，它们的集体使用被称为“幽灵行动”（Operation Ghost）。横向移动是这种恶意软件的特性，使用单个成功入侵账户的凭据一台接一台地接管机器。然后，它提供了一个强大的后门套件，以方便访问受害机器。
Indrik Spider：虽然没有本次细分中的其他一些APT那样庞大和危险，但Indrik Spider也同样具有威胁性，尤其是对于较大型机构。凭借Dridex等复杂的银行木马和BitPaymer等勒索软件，Indrik Spider具有攻击大多数高价值行业的潜力。Dridex使用大量后门工具，包括用于劫持浏览器会话、通过受害计算机进行代理以及躲避恶意软件分析程序。BitPaymer在2017年攻击英国医院时被首次发现，其独特之处在于每次操作使用唯一的加密密钥、赎金记录和联系信息。它还具有一系列持续性工具，可通过擦除和重置帮助扎根受害计算机。
Sandworm Team：此APT使用BlackEnergy工具直接攻击工业控制系统和其他类似关键基础设施，该工具导致2015年乌克兰电网中断，也是此类攻击中的首次。Sandworm Team似乎专门针对乌克兰。BlackEnergy使用Word文档中的宏来投放文件以保持持续性，然后连接到命令和控制服务器。BlackEnergy包含后门进入服务器（具有远程桌面查看器和间谍功能）、网络扫描、快速传播甚至破坏的功能。