继2016年入侵民主党全国委员会(DNC)的网络和服务器之后,间谍组织CozyBear(也称为APT29和Dukes)一直致力于避免安全公司的关注,但近期仿佛经过冬眠之后,该组织再次活跃起来了。
根据安全公司ESET近日发布的报告,APT29近期恢复并重建了大部分工具,并正在使用加密通信方式(例如在图像中隐藏信息和命令,隐写技术),来规避安全公司检测。不完全分析,该组织已经开始入侵活动。
恶意软件研究人员MatthieuFaou说:“即使该组织几年来都规避了公众审查,但他们实际上还是非常积极地入侵了高价值目标,并开发了新工具。”“从2008年(或2009年)开始,它们已经运行了大约10年,几乎一直活跃。”
据分析,攻击者使用了的工具和技术,与“APT29”组织有着深层的“基因”联系,且这一波次攻击中APT组织开始启用了一些特殊加密通道,或新的公开渠道。
例如:使用Twitter,Imgur和Reddit作为在受到入侵后立即向系统发出命令的主要方式。CozyBear使用算法生成器生成新的Twitter句柄,受感染的机器将从中获取加密的URL。
该组织还使用OneDrive等公共云服务,将通信隐藏在合法服务中。同时,该APT组织还常会将数据隐藏在图像内部,这很难检测。
隐写技术的实施非常复杂,并不常见,很难检测,因为即使在更改图像以包含命令或有效载荷之后,仅查看网络流量,很难检测到可疑攻击行为正在进行。
此外,该组织在其当前活动中正在使用三个新的恶意软件家族,这些组织被ESET称为PolyglotDuke,RegDuke和FatDuke。ESET还发现了第四个恶意软件样本LiteDuke,该样本用于以前未曾描述的较早的活动中。
PolyglotDuke使用Twitter和其他网站获取命令和控制服务器的地址。RegDuke通过隐藏在注册表中并使用Dropbox重建与攻击者控制的服务器的连接来建立持久性。
FatDuke是安装在MiniDuke后门之后的客户端,具有很多功能,并且使用混淆处理使其代码,使得难以解密分析。
MiniDuke后门,可在初始感染后安装该后门,并允许攻击者向受感染的系统发出命令。
该APT组织还广泛使用凭据在整个网络中“漫游”,从而在受害者响应事件的同时损害其他系统,并重新感染系统。
ESET报告中称:“在应对Dukes时,确保在短时间内移除所有植入物非常重要。”“否则,攻击者将使用剩下的任何植入物再次危害清洁的系统。”