继2016年入侵民主党全国委员会（DNC）的网络和服务器之后，间谍组织CozyBear（也称为APT29和Dukes）一直致力于避免安全公司的关注，但近期仿佛经过冬眠之后，该组织再次活跃起来了。

根据安全公司ESET近日发布的报告，APT29近期恢复并重建了大部分工具，并正在使用加密通信方式（例如在图像中隐藏信息和命令，隐写技术），来规避安全公司检测。不完全分析，该组织已经开始入侵活动。

恶意软件研究人员MatthieuFaou说：“即使该组织几年来都规避了公众审查，但他们实际上还是非常积极地入侵了高价值目标，并开发了新工具。”“从2008年（或2009年）开始，它们已经运行了大约10年，几乎一直活跃。”

据分析，攻击者使用了的工具和技术，与“APT29”组织有着深层的“基因”联系，且这一波次攻击中APT组织开始启用了一些特殊加密通道，或新的公开渠道。

例如：使用Twitter，Imgur和Reddit作为在受到入侵后立即向系统发出命令的主要方式。CozyBear使用算法生成器生成新的Twitter句柄，受感染的机器将从中获取加密的URL。

该组织还使用OneDrive等公共云服务，将通信隐藏在合法服务中。同时，该APT组织还常会将数据隐藏在图像内部，这很难检测。

隐写技术的实施非常复杂，并不常见，很难检测，因为即使在更改图像以包含命令或有效载荷之后，仅查看网络流量，很难检测到可疑攻击行为正在进行。

此外，该组织在其当前活动中正在使用三个新的恶意软件家族，这些组织被ESET称为PolyglotDuke，RegDuke和FatDuke。ESET还发现了第四个恶意软件样本LiteDuke，该样本用于以前未曾描述的较早的活动中。

PolyglotDuke使用Twitter和其他网站获取命令和控制服务器的地址。RegDuke通过隐藏在注册表中并使用Dropbox重建与攻击者控制的服务器的连接来建立持久性。

FatDuke是安装在MiniDuke后门之后的客户端，具有很多功能，并且使用混淆处理使其代码，使得难以解密分析。

MiniDuke后门，可在初始感染后安装该后门，并允许攻击者向受感染的系统发出命令。

该APT组织还广泛使用凭据在整个网络中“漫游”，从而在受害者响应事件的同时损害其他系统，并重新感染系统。

ESET报告中称：“在应对Dukes时，确保在短时间内移除所有植入物非常重要。”“否则，攻击者将使用剩下的任何植入物再次危害清洁的系统。”