了解江民最新动态
2023-02-10 来源:安全资讯
apt29,又名nobelium、cozybear,被认为是具有东欧政府背景的apt组织
apt29,又名nobelium、cozybear,被认为是具有东欧政府背景的apt组织,它们的主要攻击目标覆盖欧洲、北美、亚洲等地区国家,主要对象在于英美等国,具体行业目标则为政府、科研机构、智囊团、高科技企业或供应商等。
一、apt29组织介绍及近期主要活动
apt29至少自2008年开始活跃,其最初映入公众眼帘是在2009年dukes早期工具集曝光,木马的新颖之处在于使用twitter社交平台存放恶意网络资产、以此为跳板进行后续网络交互行为。
- 从2022年1月中旬开始,apt29使用beatdrop和boommic下载器的部署。在识别此活动后不久,mandiant发现了apt29通过一系列网络钓鱼浪潮发起的针对多个其他外交和政府的攻击。
- apt29 在今年上半年被披露的鱼叉攻击活动中屡次利用合法通信服务作为 c&c 信道 ,比如团队协作服务 trello 和文件托管服务 dropbox,apt29通过一系列网络钓鱼浪潮发起的针对多个其他外交和政府的攻击。
- 江民赤豹反病毒实验室发现东欧背景apt组织 apt29 利用“鲜为人知”的 windows 功能,对未具名欧洲外交实体进行网络攻击活动,以外交实体为目标与apt29组织长期行动目标一致。
二、apt29组织行为特征及识别方法
1. 2022年初,apt29出现在受害者网络内的时间里发现了凭证漫游的使用,并对活动目录系统进行了“大量具有非正常性的ldap查询”。在windows server 2003 service pack 1(sp1)中引入的凭证漫游是一种机制,允许用户以安全的方式在windows域的不同工作站中访问他们的凭证(即私钥和证书)。目前该漏洞已在微软2022年9月13日 补丁星期二 更新中得到解决。
2. apt29发送的钓鱼邮件伪装成与各大使馆有关的行政通知,并利用合法的第三方邮件地址发送电子邮件,通过atlassian的trello服务进行指挥和控制通信(c2)。它们以外交机构为目标,使用rootsaw提供额外的木马程序,并滥用firebase或dropbox进行c2通信。对合法网络服务(如trello、firebase或dropbox)的滥用很可能是为了加大检测或补救的难度。
在历史披露的安全事件当中,发现apt29使用的木马工具集(主要指初始投递到pc的前阶段载荷),分为三大类:the dukes系列、wellmess系列、nobelium系列,各个系列的前期攻击载荷使用的木马存在较大差异。
江民赤豹反病毒实验室给出的对抗防御措施
1、安装江民反病毒并将病毒库升级为最新版本,并定期进行全盘扫描。
2、在使用移动介质前,应对移动介质内文件进行扫描确认不携带病毒文件。
3、不打开陌生电子邮件,防止鱼叉式钓鱼式攻击。
4、及时更新操作系统及应用软件补丁,防止漏洞利用攻击。
5、为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
6、不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
7、定期进行目标机器的异常检查,包括是否出现新增账户、guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。
江民赤豹反病毒实验室介绍
江民赤豹反病毒实验室专注反病毒技术研究,拥有自主研发的文件威胁检测引擎、ai威胁检测引擎、流迭代威胁检测引擎等多款反病毒引擎产品,形成了全平台的恶意代码防御体系,并针对日新月异的网络安全环境,提供安全事件应急响应、恶意代码分析处置等多种安全服务。江民赤豹反病毒实验室致力于提供了全面、系统、一体化的网络安全防护,为客户提供强大技术支撑。