俄 APT 组织利用0day漏洞和擦除器加强对欧洲的攻击

ESET 表示，2024 年底和 2025 年初，俄罗斯黑客组织的恶意网络活动强度增强。

ESET Research在其《2024 年第四季度至 2025 年第一季度APT 活动报告》中记录了 2024 年 10 月至 2025 年 3 月期间全球主要APT组织的活动。

研究团队观察到，俄罗斯APT组织在此期间加强了对乌克兰和欧盟的攻击，利用零日漏洞并部署新的擦除器。

该报告于 5 月 19 日发布，是 ESET 客户可用数据的快照，这些数据通过 ESET 产品收集并由 ESET 研究人员验证的共享情报提供。

与俄罗斯相关的APT组织，包括 Fancy Bear、Gamaredon 和 Sandworm，主要针对乌克兰和欧盟国家。乌克兰的关键基础设施和政府机构遭受了最为猛烈的网络攻击。

Gamaredon，一个据信隶属于俄罗斯联邦安全局（FSB）的黑客组织，是针对乌克兰攻击活动最为活跃的黑客组织。该组织的其他名称包括Primitive Bear、UNC530和Aqua Blizzard，改进了其恶意软件混淆工具集，并推出了一款利用Dropbox进行文件窃取的PteroBox。

名为Fancy Bear (APT28)的威胁组织改进了其对网络邮件服务中跨站脚本 (XSS) 漏洞的利用，并将其“RoundPress 行动”扩展至多个电子邮件服务。该组织又名 Sednit、Pawn Storm、Forest Blizzard 和 Sofacy Group，成功利用 MDaemon 电子邮件服务器 (CVE-2024-11182) 中的零日漏洞，攻击了乌克兰多家公司。

Sandworm ( APT44 ) 是另一个与 GRU 有关联的组织，主要致力于入侵乌克兰的能源基础设施。该组织又名 Voodoo Bear、Iron Viking、Telebots 和 Seashell Blizzard，利用 Active Directory 组策略中的漏洞部署了新型擦除器 ZEROLOT。

其他与俄罗斯相关的APT组织，例如RomCom，通过针对知名软件（包括 Mozilla Firefox（CVE-2024-9680）和 Microsoft Windows（CVE-2024-49039））部署0day漏洞，展示了先进的能力。

技术报告：

https://www.welivesecurity.com/en/eset-research/eset-apt-activity-report-q4-2024-q1-2025/

新闻链接：

https://www.infosecurity-magazine.com/news/russian-apt-intensify-cyber/