APT29，又名Nobelium、CozyBear，被認(rèn)為是具有東歐政府背景的APT組織，它們的主要攻擊目標(biāo)覆蓋歐洲、北美、亞洲等地區(qū)國(guó)家，主要對(duì)象在于英美等國(guó)，具體行業(yè)目標(biāo)則為政府、科研機(jī)構(gòu)、智囊團(tuán)、高科技企業(yè)或供應(yīng)商等。

一、APT29組織介紹及近期主要活動(dòng)

APT29至少自2008年開始活躍，其最初映入公眾眼簾是在2009年Dukes早期工具集曝光，木馬的新穎之處在于使用Twitter社交平臺(tái)存放惡意網(wǎng)絡(luò)資產(chǎn)、以此為跳板進(jìn)行后續(xù)網(wǎng)絡(luò)交互行為。

- 從2022年1月中旬開始，APT29使用BEATDROP和BOOMMIC下載器的部署。在識(shí)別此活動(dòng)后不久，Mandiant發(fā)現(xiàn)了APT29通過一系列網(wǎng)絡(luò)釣魚浪潮發(fā)起的針對(duì)多個(gè)其他外交和政府的攻擊。

- APT29 在今年上半年被披露的魚叉攻擊活動(dòng)中屢次利用合法通信服務(wù)作為 C&C 信道 ，比如團(tuán)隊(duì)協(xié)作服務(wù) Trello 和文件托管服務(wù) Dropbox，APT29通過一系列網(wǎng)絡(luò)釣魚浪潮發(fā)起的針對(duì)多個(gè)其他外交和政府的攻擊。

- 江民赤豹反病毒實(shí)驗(yàn)室發(fā)現(xiàn)東歐背景APT組織 APT29 利用“鮮為人知”的 Windows 功能，對(duì)未具名歐洲外交實(shí)體進(jìn)行網(wǎng)絡(luò)攻擊活動(dòng)，以外交實(shí)體為目標(biāo)與APT29組織長(zhǎng)期行動(dòng)目標(biāo)一致。

二、APT29組織行為特征及識(shí)別方法

1. 2022年初，APT29出現(xiàn)在受害者網(wǎng)絡(luò)內(nèi)的時(shí)間里發(fā)現(xiàn)了憑證漫游的使用，并對(duì)活動(dòng)目錄系統(tǒng)進(jìn)行了“大量具有非正常性的LDAP查詢”。在Windows Server 2003 Service Pack 1（SP1）中引入的憑證漫游是一種機(jī)制，允許用戶以安全的方式在Windows域的不同工作站中訪問他們的憑證（即私鑰和證書）。目前該漏洞已在微軟2022年9月13日 補(bǔ)丁星期二 更新中得到解決。

2. APT29發(fā)送的釣魚郵件偽裝成與各大使館有關(guān)的行政通知，并利用合法的第三方郵件地址發(fā)送電子郵件，通過Atlassian的Trello服務(wù)進(jìn)行指揮和控制通信（C2)。它們以外交機(jī)構(gòu)為目標(biāo)，使用ROOTSAW提供額外的木馬程序，并濫用Firebase或DropBox進(jìn)行C2通信。對(duì)合法網(wǎng)絡(luò)服務(wù)（如Trello、Firebase或DropBox）的濫用很可能是為了加大檢測(cè)或補(bǔ)救的難度。

在歷史披露的安全事件當(dāng)中，發(fā)現(xiàn)APT29使用的木馬工具集（主要指初始投遞到PC的前階段載荷），分為三大類：The Dukes系列、WellMess系列、Nobelium系列，各個(gè)系列的前期攻擊載荷使用的木馬存在較大差異。

江民赤豹反病毒實(shí)驗(yàn)室給出的對(duì)抗防御措施

1、安裝江民反病毒并將病毒庫(kù)升級(jí)為最新版本，并定期進(jìn)行全盤掃描。

2、在使用移動(dòng)介質(zhì)前，應(yīng)對(duì)移動(dòng)介質(zhì)內(nèi)文件進(jìn)行掃描確認(rèn)不攜帶病毒文件。

3、不打開陌生電子郵件，防止魚叉式釣魚式攻擊。

4、及時(shí)更新操作系統(tǒng)及應(yīng)用軟件補(bǔ)丁，防止漏洞利用攻擊。

5、為本機(jī)管理員賬號(hào)設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過密碼猜測(cè)進(jìn)行傳播，最好是數(shù)字與字母組合的密碼。

6、不要從不可靠的渠道下載軟件，因?yàn)檫@些軟件很可能是帶有病毒的。

7、定期進(jìn)行目標(biāo)機(jī)器的異常檢查，包括是否出現(xiàn)新增賬戶、Guest是否被啟用、系統(tǒng)日志是否存在異常、殺毒軟件是否存在異常攔截等。

江民赤豹反病毒實(shí)驗(yàn)室介紹

江民赤豹反病毒實(shí)驗(yàn)室專注反病毒技術(shù)研究，擁有自主研發(fā)的文件威脅檢測(cè)引擎、AI威脅檢測(cè)引擎、流迭代威脅檢測(cè)引擎等多款反病毒引擎產(chǎn)品，形成了全平臺(tái)的惡意代碼防御體系，并針對(duì)日新月異的網(wǎng)絡(luò)安全環(huán)境，提供安全事件應(yīng)急響應(yīng)、惡意代碼分析處置等多種安全服務(wù)。江民赤豹反病毒實(shí)驗(yàn)室致力于提供了全面、系統(tǒng)、一體化的網(wǎng)絡(luò)安全防護(hù)，為客戶提供強(qiáng)大技術(shù)支撐。