大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
近日,ESET研究人员揭露了一直被认为已退出黑客舞台的俄罗斯间谍黑客组织“APT29”(又名Cozy Bear或The Dukes)的新动向。APT29自2013年起活跃于网络攻击领域,曾在2016年达到活动高峰。尽管此后几年间该组织似乎淡出了公众视线,但ESET最新报告显示,他们从未真正离开,而是低调地继续进行高层次的网络攻击。
APT29的隐秘行动
根据ESET研究团队的发现,APT29在2019年重新部署了三种新型恶意软件:PolyglotDuke、RegDuke和FatDuke。尤其值得注意的是,他们巧妙地利用Twitter、Imgur和Fotolog等社交媒体平台,通过隐写术将恶意代码隐藏在图片中进行传播。这种隐蔽的手段使他们能够在不引起广泛注意的情况下,继续对高价值目标进行攻击,包括多个外交部和已知被攻击的组织。
新恶意软件家族
ESET报告指出,APT29新部署的恶意软件家族显示出与旧版工具的显著相似之处。例如,PolyglotDuke使用的自定义加密算法与2013年的OnionDuke极为相似,最新的MiniDuke样本也沿用了五年前的后门技术。这些相似性表明APT29在继承旧技术的基础上,不断发展其攻击工具。
利用社交媒体进行C2操作
APT29巧妙地利用Twitter、Kiwibox、Reddit、Fotolog、Evernote和Imgur等社交媒体平台进行指挥控制(C2)操作,隐藏恶意负载的图片数量众多。ESET团队在GitHub上详细列出了这些攻击的指标,揭示了APT29复杂而隐秘的攻击手法。
研究报告详情
ESET的研究不仅揭示了APT29的最新动向,还详细分析了其攻击工具的技术细节和使用的隐写术手段。感兴趣的读者可以查阅ESET的白皮书,深入了解APT29的“幽灵行动”如何展开,并如何有效防范这类高级持续性威胁。
结语
APT29的再次浮现提醒我们,网络世界的战争从未停止。作为网络安全从业者和广大网民,我们需要时刻保持警惕,了解最新的网络威胁动态,并采取相应的防护措施。ESET的这份报告为我们揭示了APT29隐藏在暗处的攻击手段,也为进一步研究和防御提供了宝贵的线索。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):俄罗斯APT29 从未停止进攻脚步:新型恶意软件曝光
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论