卡巴斯基實驗室監控、報告並防禦的威脅攻擊者數量眾多,有些在國際上赫赫有名,有時在新聞中被特別報導。不管威脅攻擊者說的是哪國語,我們都有責任瞭解和調查並為客戶提供相應的防禦措施。

其中一個最活躍的威脅攻擊者是一個講俄語的高級持續威脅(APT)組織,名叫Sofacy,又被稱為APT28、Fancy Bear和Tsar Team。該組織以魚叉式網路釣魚活動和網路間諜活動而臭名遠揚。2017年,該組織的攻擊重點發生轉移,值得在此一提。
我們從2011年開始一直密切關注Sofacy,對該威脅攻擊組織採用的手段和策略十分熟悉。2017年,該組織的主要變化是攻擊範圍擴大,年初魚叉式網路釣魚攻擊地主要是北約諸國,到第二季度已經擴大到中東和亞洲國家,甚至更遠的國家。早些時候,Sofacy還曾把奧運會、世界反運動禁藥機構(WADA)和國際體育仲裁院(CAS)作為攻擊目標。
Sofacy針對不同的目標情況運用不同的工具。例如,2017年初,該組織發動了一場名為”經銷商選擇”的攻擊活動,主要針對全球的軍事機構和外交機構(以北約各國和烏克蘭為主);後來,攻擊者又運用了另外兩種工具(我們稱之為Zebrocy和SPLM),針對不同領域的公司(包括科學和工程中心以及新聞服務在內)發動攻擊。Zebrocy和SPLM去年已經有了大幅修改,SPLM(也稱為Chopsticks)逐漸實現模組化,並採用了加密通信。
常見的感染伎倆一開始是發送含有指令檔的魚叉式網路釣魚信件,通過該腳本可下載有效負載。Sofacy以發現和利用零日漏洞來提供有效負載而聞名。威脅攻擊者有著高水準的操作安全性,非常重視隱藏自己惡意軟體的行蹤 – 當然,這也讓調查該惡意軟體困難重重。
對於Sofacy等高度複雜的針對性攻擊活動,進行徹底的事件調查至關重要。通過調查,可以確定犯罪分子要尋找的資訊,瞭解他們的動機,檢測是否有任何睡眠植入程式的存在。
為此,您的安全系統不僅需要高級防禦解決方案,還需要終端檢測和回應系統。這樣的系統可以在早期階段檢測到威脅,並幫助分析攻擊事件發生前的事件。技術嫺熟的專家也不會因此受到傷害。我們提供的解決方案是威脅管理和防禦平臺,該平臺融合了卡巴斯基反針對性攻擊、卡巴斯基安全網路以及專家服務。
您可以在 Securelist上找到關於2017年更多威脅攻擊者活動的資訊,包括技術細節。此外,今年年初,我們的研究人員發現Sofacy行為發和生了一些有趣的轉變,這個將在SAS 2018大會上重點討論。如果你對APT感興趣並想構建相應的防禦措施,別忘了獲得一張大會的門票 – 或者至少在SAS期間經常來看看我們的博客。
資料來源:https://www.kaspersky.com/blog/sofacy-2017-update/21227/