恶意软件
此部分包括 Mandiant 观察到的 APT44 自 2018 年以来使用的恶意软件,但 APT44 于 2017 年部署的 ETERNALPETYA(又名 NotPetya)除外。我们将此部分分为三部分:APT44 独有的自定义恶意软件、公开或商业的恶意软件 可用但由 APT44 修改和定制,以及 APT44 使用的公开或商业可用的恶意软件。
恶意软件
|
作用
|
描述
|
---|---|---|
ARGUEPATCH | 启动器 | ARGUEPATCH是一种恶意启动器,使用简单的XOR算法解密磁盘上的一个文件,并在内存中执行第二阶段有效负载。 |
AXETERROR | 后门 | AXETERROR是用Go语言编写的一种后门。启动时,该恶意软件会将自身设置为cron作业或系统启动脚本,以实现持久存在。AXETERROR通过HTTPS进行通信,支持多种命令。 |
BACKORDER | 下载器 | BACKORDER是用Go语言编写的针对Windows机器的下载器。它从远程服务器下载并执行第二阶段有效负载。BACKORDER通常隐藏在木马安装程序中,并针对执行原始安装可执行文件进行硬编码。 |
BACKORDER.V2 | 下载器 | BACKORDER.v2是用Go语言编写的针对Windows环境的下载器。它从远程服务器下载并执行第二阶段有效负载。该恶意软件能够设置排除Windows Defender扫描的文件夹。 |
BRUSHPASS | Web shell | BRUSHPASS是一个用C#编写的Webshell,为威胁行为体提供执行命令、更改受害者防火墙配置等多种手段。 |
CADDYWIPER | 删除数据 | CADDYWIPER是一种用C编写的破坏性文件删除数据软件,枚举文件系统物理驱动器,并使用空字节覆盖文件内容和分区。 |
COLDWELL | 加载程序 | COLDWELL是一种用C编写的带有加密和嵌入式有效负载的加载程序。执行时生成随机文件名写入有效负载,配置持久性,将下一阶段时间戳与合法文件混淆。 |
EARLYBLOOM | 后门 | EARLYBLOOM是一种用C++编写的通过HTTPS进行通信的后门,支持执行shell命令、文件传输等命令。 |
EXARAMEL | 后门 | EXARAMEL是一种能够加密和从配置目录中外发文件的后门,还可以接收并执行来自C2的命令。配置存储在注册表中。 |
FACEFISH | 加载程序 | FACEFISH是一种加载程序,释放rootkit,其主要功能由rootkit模块决定,可钩住ssh/sshd程序窃取凭据,支持后门功能。 |
FAIRROOT | 加载程序 | FAIRROOT是用于传递经过编码的有效负载的VBScript宏,使用固定字符串作为解码密钥,能够检测沙箱环境。 |
FELIXROOT | 后门 | FELIXROOT是一种仅在内存中的DLL后门,能够进行系统侦查、数据外发和远程代码执行,使用硬编码公钥加密通信。 |
FIZZLESHELL | Webshell | FIZZLESHELL是一个PHP Webshell,使用加密代码对支持的三个命令进行混淆,并通过MIME消息将数据发送到C2服务器。 |
FREETOW | 仅内存加载程序 | FREETOW是用于加载shell代码有效负载的内存加载程序,被识别为嵌入合法程序中的有效负载,包含反模拟技术。 |
GOGETTER | 隧道程序 | GOGETTER是一种用Go语言编写的隧道程序,使用开源库Yamux通过TLS为其C2服务器代理通信。 |
ICYWELL | 后门 | ICYWELL是一种用C++编写的后门,为威胁行为体提供反向shell、执行任意命令、读写文件等功能。 |
ILLICITORDER | 加载程序 | ILLICITORDER是一种用C++编写的带有XOR和Base64编码的第二阶段有效负载的加载程序,通常被嵌入木马安装程序。 |
INDUSTROYER | 破坏性恶意软件框架 | INDUSTROYER是一种模块化恶意软件框架,旨在侦查和操纵电网控制系统,包括发出命令、删除数据和拒绝服务等模块。 |
ITCHYSPARK | 实用工具 | ITCHYSPARK是一种用于部署NEARMISS删除数据软件的横向移动工具,能够枚举本地网络、尝试SMB连接并进行端口扫描。 |
ITCHYSPARK.SMB | 实用工具 | ITCHYSPARK.SMB是一种横向移动工具,用于将可执行文件复制到远程SMB服务器并执行。 |
ITCHYSPARK.WMI | 实用工具 | ITCHYSPARK.WMI是一种横向移动工具,用于将可执行文件复制到远程路径,并通过WMI/COM执行。 |
JUNKMAIL | 删除数据软件 | JUNKMAIL是一种.NET删除数据软件,使用未知的混淆器和垃圾代码混淆控制流程,枚举并删除文件。 |
LUCKYPIE | 启动器 | LUCKYPIE是一种从其资源部分加载并执行DLL的启动器,嵌入了zlib库代码并导出了许多zlib函数。 |
NEARMISS | 删除数据软件 | NEARMISS是一种主引导记录(MBR)删除数据软件,禁用阴影拷贝和系统崩溃转储后删除MBR,使目标设备无法操作。 |
NEARTWIST | 删除数据软件 | NEARTWIST是一种用C编写的破坏性文件删除数据软件,枚举物理驱动器并尝试直接或使用伪随机数据覆盖文件内容。 |
NEWRETURN | 仅内存加载程序 | NEWRETURN是一种内存中的.Net加载程序,包含嵌入二进制文件作为主要功能,被大量填充空字节。 |
NIKOWIPER | 删除数据软件 | NIKOWIPER是一种用C编写的破坏性工具,包含嵌入式SDelete可执行文件用于删除磁盘文件。 |
NIKOWIPER.MBR | 删除数据软件 | NIKOWIPER.MBR是一种用C编写的破坏性工具,包含嵌入式SDelete可执行文件删除文件,还能删除主引导记录。 |
PARTYTICKET | 删除数据软件 | PARTYTICKET是一种用Go语言编写的破坏性文件删除数据软件,枚举文件系统并根据扩展名选择要AES加密的文件。 |
PENNYBAG | 加载程序 | PENNYBAG是一种恶意宏加载程序,用于解码并将有效负载写入磁盘,曾用于分发其他恶意软件。 |
PRESSTEA | 勒索软件 | PRESSTEA是一种用C++编写的勒索软件,加密本地文件,使用”.enc”扩展名,删除备份目录和卷影拷贝。 |
QUICKTOW | 后门 | QUICKTOW是一种轻量级的通过HTTP进行通信的后门,用Go语言编写,支持执行命令、打开新会话等。 |
ROARBAT | 删除数据软件 | ROARBAT是一种批处理破坏性删除数据软件,负责枚举驱动器和目录,并使用WinRAR删除数据。 |
SOURGRAPES | 破坏性恶意软件 | SOURGRAPES是一种破坏性恶意软件,负责破坏网络共享上的文件并禁用受害系统上的所有服务。 |
SHARPCOFFEE | 下载器 | SHARPCOFFEE是一种用JavaScript编写的通过HTTP检索有效负载的下载器,下载后在内存中执行。 |
SHARPCOFFEE.VBS | 下载器 | SHARPCOFFEE.VBS是一种用Visual Basic编写的Windows下载器,用于通过PowerShell下载其他软件并上传数据。 |
SHARPENTRY | 下载器 | SHARPENTRY是一种用C编写的通过TCP检索有效负载的下载器,有效负载解码后在内存中执行。 |
SHARPIVORY | 加载程序 | SHARPIVORY是一种用.NET编写的加载程序,将嵌入有效负载写入磁盘,通过计划任务持久化,释放Word文档作诱饵。 |
SPAREPART | 后门 | SPAREPART是一种用C编写的轻量级后门,使用设备UUID与C2通信,下载并执行任务。 |
SWEETTREAT | 实用工具 | SWEETTREAT是一种通过命名管道或RPC提供加密功能的实用程序服务,代表一类不常见的功能。 |
VPNFILTER | 后门 | VPNFILTER是一种模块化后门,能够执行各种命令,并且可以通过使用插件扩展功能。 |
修改后公开或市售
Malware
|
Role
|
Description
|
---|---|---|
BLACKENERGY | Backdoor | 早期BLACKENERGY恶意软件变种被用于创建分布式拒绝服务(DDoS)僵尸网络,后来随着时间推移而发展。BLACKENERGY、BLACKENERGY.V2和BLACKENERGY.V3的变种是模块化后门,能够下载额外的条件模块到目标机器。由Sandworm使用的BLACKENERGY.V2和BLACKENERGY.V3样本仅利用模块进行间谍活动。通常配置为与两个C2服务器通信,这些BLACKENERGY变种包含诸如受害者分析、更新配置块、下载和执行文件、下载和加载插件、卸载和删除插件以及卸载后门等基本功能。 |
HEXCHAMBER | Builder | HEXCHAMBER是开源项目Malicious Macro Generator(MMG)的定制实现。这种宏的变种将编码字符串分解为二进制和十六进制对应值,然后将它们连接成编码命令字符串,稍后使用常量对其解码。HEXCHAMBER曾用于分发PowerShell Empire。 |
ETERNALPETYA | Wiper | Petya是一个非典型的勒索软件家族,该恶意软件不会加密受害者系统上的单个文件,而是覆盖主引导记录(MBR)并加密主文件表(MFT),从而使系统在支付赎金之前无法操作。该恶意软件包含一个加载程序、自定义引导加载程序和一个执行其他加密例程的小型Windows内核。ETERNALPETYA是PETYA的一个变种,是一种能够加密文件、加密MBR、安装bootkit、提取凭据、执行横向移动以及通过已知漏洞进行远程利用的破坏工具。 |
POWERDISCO | Utility | POWERDISCO是一个Windows PowerShell脚本,能够使用Active Directory服务接口(ADSI)枚举组策略对象(GPO)。它可能只能找到链接到根域的策略。POWERDISCO可能来源于Medium用户@pentesttas的一篇博客文章”使用PS>ADSI在Active Directory上发现隐藏的GPO(s)”,然后被攻击者修改。 |
TANKTRAP | Utility | TANKTRAP是一个使用PowerShell编写的实用程序,利用Windows组策略传播和启动删除数据软件。TANKTRAP已被观察到与NEARMISS、SDELETE、PARTYTICKET和CADDYWIPER一起使用。TANKTRAP可能受到了公开项目如SharpGPOAbuse和PowerGPOAbuse的启发。 |
WILDDIME | Backdoor | WILDDIME是一个能够下载、上传和执行文件的PowerShell后门。WILDDIME已被识别通过LNK文件部署,并负责打开一个诱饵文档。WILDDIME是公开工具HTTP-Shell(由开发者JoelGMSec开发)的修改变体。 |
公开或商业可用
Malware
|
Role
|
Description
|
---|---|---|
BEACON | Backdoor | BEACON是用C/C++编写的后门,是Cobalt Strike框架的一部分。支持的后门命令包括执行shell命令、文件传输、文件执行和文件管理。BEACON还可以捕获键盘记录和屏幕截图,并充当代理服务器。BEACON也可能被用于收集系统凭据、端口扫描和枚举网络上的系统。BEACON通过HTTP或DNS与C2服务器通信。 |
COLIBRI | Downloader | COLIBRI是一种规避、灵活且高度混淆的C++ Win32下载器,主要在内存中下载并执行第二阶段植入体或恶意软件。COLIBRI能够加载任意二进制文件并在受害者系统上持久存在。COLIBRI通过端口443上的TLS与命令和控制(C2)服务器通信,通信内容经过Base64编码和RC4加密。 |
DARKCRYSTALRAT | Backdoor | DARKCRYSTALRAT是一种基于.NET的后门,通过HTTP进行通信。其功能包括远程桌面、文件传输、文件执行和shell命令执行。DARKCRYSTALRAT还可以捕获音频、屏幕截图、键盘记录和相机图像。浏览器和FTP客户端存储的凭据也是目标。DARKCRYSTALRAT还可以编译和执行任意C#代码。 |
EMPIRE | Framework | EMPIRE是用PowerShell编写的后期利用框架。EMPIRE通常用于生成一个加载程序有效负载,该有效负载负责下载和执行框架的后门。后门通过HTTP和HTTPS进行通信。支持的后门命令包括执行shell命令、PowerShell执行和文件传输。EMPIRE后门也可以通过插件扩展,支持的插件包括远程桌面、屏幕截图捕获、键盘记录、横向移动、凭据窃取和侦查。 |
EMPYRE | Framework | EMPYRE是一个针对OSX/Linux的渗透测试框架,受Powershell Empire的启发。 |
METASPLOIT | Framework | METASPLOIT是一个渗透测试框架,其功能包括漏洞测试、网络枚举、有效负载生成和执行以及防御规避。该框架包含针对众多应用程序和流行操作系统(如Windows、Linux和macOS)的漏洞利用代码。METASPLOIT通常用于生成一个加载程序有效负载,该有效负载负责下载和执行框架的METERPRETER后门。 |
METERPRETER | Backdoor | METERPRETER是一种用C编写的后门,通过HTTP、HTTPS或TCP上的自定义二进制协议进行通信。支持的命令包括反向shell、文件传输、文件执行、键盘记录和屏幕截图捕获。METERPRETER由METASPLOIT框架生成。 |
METERPRETER.PYTHON | Backdoor | METERPRETER.PYTHON是METERPRETER的Python实现版本。这个版本提供了一个能够加载Python脚本和运行即席Python命令的内存Python解释器。 |
PASWEB | Webshell | PASWEB是公开可用的P.A.S. PHP webshell。 |
PIVOTNACCI | Tunneler | PIVOTNACCI是一种开源隧道工具,通过部署HTTP代理可以进入内部网络。PIVOTNACCI允许创建与HTTP代理通信的SOCKS服务器。该工具受另一个开源隧道工具REGEORG的启发,但包括了一些改进,包括支持负载均衡服务器、可定制的轮询间隔、自动丢弃由服务器关闭或密码保护的代理连接。 |
POSHC2 | Framework | POSHC2是一个代理感知的C2框架,用于帮助渗透测试人员进行红队测试、后期利用和横向移动。POSHC2生成通过HTTP或HTTPS通信的PowerShell、.NET和Python后门有效负载。支持的后门命令包括屏幕截图捕获、键盘记录捕获、标准shell和PowerShell命令执行、文件传输和文件执行。POSHC2还支持使用MIMIKATZ有效负载收集系统凭据,并可以充当代理服务器。 |
PWNKIT | Exploit | PWNKIT是CVE-2021-4034的实现,用于权限升级。 |
RADTHIEF | Infostealer | RADTHIEF,又名”Rhadamanthys Stealer”,是一种基于C++的信息窃取恶意软件。RADTHIEF收集包括计算机名称、用户名、系统信息、网络信息、已安装程序、恶意软件捕获的屏幕截图、浏览器数据和加密钱包数据等信息。 |
REGEORG | Tunneler | REGEORG是一种用于隧道Webshell流量的开源实用程序。 |
REGEORG.NEO | Tunneler | REGEORG.NEO是一种通过SOCKS代理隧道Webshell流量的开源实用程序。它是开源REGEORG项目的重构/更新分支。 |
REMCOM | Utility | REMCOM是一种用C/C++编写的横向移动工具,重新实现了Sysinternals PsExec应用程序的逻辑。REMCOM支持在远程系统上创建交互式命令提示符,以及执行文件和shell命令。它还可以用于将文件复制到远程系统。 |
SMOKELOADER | Downloader | SMOKELOADER是一种通过HTTP检索其他有效负载的下载器。检索的有效负载被映射到内存中,可能包括扩展SMOKELOADER功能的插件。通过插件添加的功能包括键盘记录、凭据窃取和DDoS。 |
STOWAWAY | Backdoor | STOWAWAY是一种公开可用的后门和代理。该项目支持多种通信类型,如ssh、SOCKS5。后门组件支持上传和下载文件、远程shell和基本信息收集。 |
WARZONE | Backdoor | WARZONE是一种用C++编写的后门,通过TCP上的自定义协议进行通信。其功能包括视频和屏幕截图捕获、远程桌面、键盘记录、文件传输、文件执行和反向shell创建。WARZONE还可以提取Web浏览器、电子邮件客户端和Windows凭据管理器存储的凭据。 |
WEEVELY | Webshell | WEEVELY是一种开源的小型多态PHP Webshell,可以在运行时通过网络扩展。它有30多个模块来协助管理任务、维持访问权限、提供情况感知、提权和扩散到目标网络。 |
WMIEXEC | Backdoor | WMIEXEC是一种轻量级的用VBScript编写的后门,利用Windows管理工具(WMI)在远程系统上执行shell命令或创建反向shell。远程系统的主机名或IP地址通过命令行参数指定。WMIEXEC在远程系统上创建一个文件共享来存储命令输出。 |
WSO | Webshell | WSO是一种基于PHP的Webshell,充当后门。支持的后门命令包括执行shell命令、反向shell、文件传输、任意PHP代码执行、SQL数据库管理和文件管理。WSO需要密码才能运行。 |
执行摘要
随着俄罗斯在乌克兰的战争进入第三年,Sandworm仍然是对乌克兰构成严重威胁的存在。
该组织为支持莫斯科的战争目标而进行的行动在战术和运营层面证明了极大的适应性,并且截至目前,与俄罗斯常规部队的活动整合程度似乎比冲突的任何其他阶段都更高。
迄今为止,没有其他俄罗斯政府支持的网络团伙在塑造和支持俄罗斯的军事行动中发挥过更加核心的作用。然而,Sandworm构成的威胁远不仅限于乌克兰。Mandiant继续看到该组织在俄罗斯的关键政治、军事和经济热点地区开展全球性行动。
展望未来,2024年将有创纪录的人数参加全国大选,而Sandworm试图干扰民主进程的历史进一步提高了该组织近期可能带来的威胁。鉴于全球各地政府和关键基础设施运营商正面临着积极且持续的威胁,Mandiant决定将该团伙升级为APT44。
关键判断
• 由俄罗斯军事情报机构资助,APT44是一个多变且在运营层面成熟的威胁行为体,积极参与情报、攻击和影响力操作的全谱系。
• APT44大力追求多管齐下的努力,以帮助俄罗斯军方获得战时优势,并几乎负责过去十年针对乌克兰的所有破坏性和破坏性行动。
• 我们有很高的信心评估,克里姆林宫将APT44视为一种灵活的权力工具,能够服务于俄罗斯广泛的国家利益和雄心,包括在全球范围内破坏民主进程的努力。
• 由于该团伙在政治和军事背景下积极使用网络攻击能力的历史,APT44对全球范围内俄罗斯国家利益与之相交叉的政府和关键基础设施运营商构成持续、高严重程度的威胁。
APT44概述
APT44(通常称为Sandworm、FROZENBARENTS和Seashell Blizzard)是一个由多个政府认定为俄罗斯武装力量总参谋部(GU)总参谋部主要中心特殊技术中心(GTsST)第74455分队的俄罗斯联邦支持的威胁组织,通常被称为主要情报总局(GRU)。
Mandiant追踪了APT44的行动超过十年,公开可用的该单位周年纪念章图像显示该组织成立于2009年。
虽然大多数俄罗斯政府支持的威胁组织往往专注于特定任务,但APT44是一个独特的多变威胁行为体,积极参与网络间谍活动、攻击和影响力行动的全谱系。这些各自构成了通常由GRU信息作战部队(VIO)执行的特殊活动的全部,我们评估APT44很可能从属于该部队。因此,我们将APT44视为俄罗斯现代网络部队所依据的信息对抗(IPb)理念的典型代表。
全球目标制定授权
APT44的行动范围是全球性的,与俄罗斯广泛的国家利益和雄心相一致。在马伊丹革命后的时代,这主要导致了以乌克兰为中心的网络行动,乌克兰是过去十年俄罗斯复仇主义地缘政治目标的震中。
然而,即使在持续的战争期间,我们也观察到该组织在北美、欧洲、中东、中亚和拉丁美洲维持着渗透和间谍活动。随时间推移的活动模式表明,APT44被赋予了不同的战略优先事项,而且很可能被克里姆林宫视为一种能够服务于持久和新兴情报需求的灵活权力工具。
• APT44主要针对俄罗斯近邻地区的政府、国防、运输、能源、媒体和公民社会组织。最近,该组织的目标频繁包括波兰、哈萨克斯坦和俄罗斯国内的政府机构和其他关键基础设施与资源(CIKR)运营商。
• APT44一再攻击西方选举系统和机构,包括现任和潜在的北大西洋公约组织(北约)成员国。作为此类活动的一部分,APT44试图通过泄露政治敏感信息并部署恶意软件访问选举系统和歪曲选举数据,干扰特定国家的民主进程。
• 在不那么具有针对性的行动中,Mandiant继续观察到APT44在全球范围内大规模盗取公共和私营部门邮件服务器凭据。这一可追溯至至少2019年的活动针对各种邮件环境,包括Exim、Zimbra和Exchange服务器,涵盖广泛的行业领域。
• APT44还频繁针对从事涉及俄罗斯政府的研究或调查的记者、公民社会组织和非政府机构。例如2018年针对化学武器禁止组织(OPCW)的行动,是由于其在新视野毒剂中毒调查中的作用;以及2023年12月至2024年1月期间,据评估为APT44初始访问集群的一场网络钓鱼活动针对了Bellingcat和其他调查新闻实体。
高度适应性的对手
APT44是一个持续存在且在运营层面成熟的对手,使用了多种初始访问方法,从常见的渠道如网络钓鱼、凭据收集和已知漏洞利用,到有针对性的供应链渗透。该组织通常利用非选择性的初始访问渠道来提供对感兴趣目标的广泛访问,之后再从中精挑细选感兴趣的受害者进行全谱系的后续活动。
• APT44频繁通过利用边缘基础设施如路由器和虚拟专用网络(VPN)设备获取初始访问。我们观察到该组织从网络边界获得的立足点开展了各种任务,包括侦查、信息窃取、下游网络钓鱼和部署删除数据恶意软件。
• 在ETERNALPETYA(又称NotPetya)之后,APT44还继续渗透软件供应链以获取初始访问。在一个最近的案例中,对一家软件开发商的访问导致了对东欧和中亚地区关键基础设施网络的下游渗透,随后针对一个特定的受害者组织部署了删除数据恶意软件。
• 据所知,APT44也会采用非常规方法来渗透感兴趣的目标。截至2024年2月,该组织继续利用通过乌克兰语和俄语论坛上的种子文件分发的木马软件安装程序,作为获取潜在感兴趣目标的机会性初始访问手段。一旦受害者下载后,APT44操作员会手动标记感兴趣的受害者,标注如受害者组织或单位名称,指示他们接下来的利用行动。我们看到这些受害者收到了DARKCRYSTALRAT(或DCRAT)等有效载荷,APT44也使用这种常见恶意软件针对乌克兰的电信实体。
一旦渗透网络内部,APT44通常使用生存于大地(LOTL)技术来扩大访问权限、建立持久存在并窃取信息。该组织还因其”低权重”的恶意软件投放方式而闻名,优先使用开源或来自犯罪分子的工具,而非使用自身定制的植入体。
• APT44以极高的操作安全度行事,并不断适应以规避最佳防御原则。为实现这一目标,我们看到该组织通常遵循一种旨在扩大行动规模、减少受害环境中的调查证据并使后渗透活动难以被检测的行动手册(见图3)。
• 一旦进入网络,APT44在部署其最先进、可能也是开发成本最高的工具时会极为谨慎。当需要定制恶意软件时,APT44通常部署轻量级的一次性工具,这些工具一旦使用或曝光不会对该组织的整体能力构成重大损失。
• APT44几乎可以肯定依赖于多家俄罗斯公司和犯罪市场来获取和维持其常用的攻击能力。
– 从俄罗斯公司NTC Vulkan泄露的文件详述了一个框架的项目需求,该框架用于支持APT44上级军事单位委托的网络行动。
– 我们还评估至少还有一家俄罗斯网络安全公司直接为APT44在乌克兰的行动提供了运营支持。
– 自2022年初俄罗斯重新入侵乌克兰以来,我们观察到APT44从犯罪市场获取工具和防火墙托管基础设施的使用量相对增加。我们评估APT44很可能长期将来自犯罪分子的工具和基础设施视为一个潜在的一次性能力库,可在短期内加以利用,而不会立即与其过去行动产生关联。
Living on the Edge:利用受损的边缘基础设施来获取和重新进入目标网络
Living off the Land:使用现有工具对目标网络进行侦察、横向移动和信息窃取,旨在逃避检测
Going for the GPO:创建持久的特权访问,可以使用经过验证的脚本来部署擦除器
Disrupt and Deny:部署“纯粹”的wipers和颠覆性工具以适应各种场景
Telegraphing “Success”: 通过黑客行动主义者角色放大成功破坏的叙述,无论操作的实际影响如何
莫斯科的主要网络破坏单位
在过去的十年里,APT44已经确立了自己作为俄罗斯首要的网络破坏单位的地位。作为俄罗斯军队的一部分,它负责了自2014年最初入侵乌克兰以来大多数针对乌克兰的GRU网络破坏行动。然而,APT44的攻击行动不仅限于军事目标,还涉及俄罗斯更广泛的国家利益,如克里姆林宫的政治发出信号的努力、应对危机或针对莫斯科在世界地位的怨恨所做的有意控制升级的回应。
• 自2022年2月俄罗斯重新入侵乌克兰以来,APT44几乎负责了Mandiant响应的针对乌克兰CIKR的所有破坏性和破坏性网络攻击。我们有很高的信心评估它是GRU乃至所有俄罗斯国家支持的网络部队中的主要网络攻击单位。
• 至少从2015年开始,APT44一直在运营和推进一套旨在破坏工业控制和安全系统、并有可能造成重大物理损害的攻击能力。自俄罗斯重新入侵以来,APT44在网络物理攻击能力方面进一步取得了进展,包括Industroyer的一个新变种以及滥用本地MicroSCADA二进制文件的专门针对OT的生存于大地攻击能力。迄今为止的行动主要针对乌克兰的能源网络,但所利用的底层技术有可能影响更广泛的行业,包括铁路、海港、机场和医院。
• APT44还不时参与旨在传达双边不满、报复政治冤狱或彰显俄罗斯网络计划所带来的威胁份量的网络破坏行动。例如:
– 2017年6月,APT44部署了伪装成勒索软件的ETERNALPETYA(又名NotPetya)删除数据软件,时间选在乌克兰宪法日庆祝其脱离俄罗斯独立的那天。
– 2018年2月,APT44在平昌冬奥会开幕式期间使用SOURGRAPES(又名OlympicDestroyer)破坏性恶意软件攻击IT系统,可能是针对俄罗斯因兴奋剂丑闻而遭禁赛的报复行动。据英国政府称,在2020年东京夏季奥运会推迟之前,他们还做好了干扰奥运会的准备。
– 2022年10月,一个置信度中等被认为是APT44的集群部署PRESSTEA(又名Prestige)勒索软件攻击波兰和乌克兰的物流实体,可能是为了显示其威胁向乌克兰运送致命援助物资的供应线路的能力。值得注意的是,这是APT44罕见地表现出愿意有意使用破坏性能力针对北约成员国的一次行动,反映了该组织喜好冒险的特点。
由于其在政治和军事背景下发动严重网络攻击的历史,我们判断APT44对全球范围内俄罗斯国家利益与之相交叉的政府和关键基础设施运营商构成持续、高严重程度的威胁。
未来可能发生破坏性或破坏性网络行动的威胁可能会扩展到参与战争罪调查或其他针对俄罗斯联邦在乌克兰的越轨行为的调查的个人或实体。
我们还判断APT44对新的网络攻击概念和方法构成重大扩散风险。该组织在信息技术(IT)和OT网络攻击能力方面的持续进步和实战使用,可能降低了其他国家和非国家行为体复制和发展自身网络攻击计划的门槛。俄罗斯本身几乎可以肯定已意识到并对此扩散风险感到担忧,因为Mandiant观察到俄罗斯网络安全实体正在演练对抗最初由APT44针对乌克兰使用的破坏性网络能力类别的防御能力。
APT44的战时网络行动
APT44大力推进多管齐下的努力,使用其网络行动帮助俄罗斯军方获得战时优势。
在我们追踪到为俄罗斯在乌克兰的军事行动做出贡献的俄罗斯政府支持的网络组织中,APT44发挥了并且继续发挥着最核心的作用,努力通过多种不同方式推进莫斯科的战争目标。
该组织的行动重点和方法在战争的第二年内发生了重大调整,以支持俄罗斯不断演变的战争获胜理论,日益侧重于与军事相关的目标和战术情报收集。
• 破坏性行动:APT44负责自2022年2月入侵之日起直至当前的一场网络破坏行动密集活动。该组织大规模部署了删除数据恶意软件,针对平民和军事目标,并试图让战争的影响超越前线,影响到乌克兰人的日常生活。
• 军事支持:APT44还越来越多地开展可能旨在支持俄罗斯常规军事行动的间谍活动。这些行动似乎侧重于移动网络、设备、应用程序和其他可能有助于窃听通信、获取战术和战场运营优势的技术。
• 信息行动:APT44利用嵌入亲俄罗斯Telegram生态系统的前景身份,试图影响信息环境并吸引人们关注部分网络行动所谓的”影响”。
针对乌克兰关键基础设施的破坏性行动
Mandiant一直在追踪APT44针对乌克兰实体的大规模网络攻击活动,这反映了其主要任务。这些破坏性网络行动的规模、范围和强度都超过了该组织在战争前八年所进行的行动,并纳入了不同的破坏性或破坏性恶意软件家族的庞大武库。
• APT44的破坏性活动发生在分散的阶段,与战争的主要阶段相吻合。活动浪潮之间的间隙可能为重新锻造并补充对运营相关目标的访问权限提供了必要的时间窗口。
• APT44破坏性活动的目标主要是政府网络和关键基础设施运营商,重点是乌克兰的能源部门。我们继续看到一个由CERT-UA跟踪为UAC-0099的APT44活动子集群寻求获取能源部门目标的访问权限。
• 我们有很高的信心评估,在特定行动中,APT44已经协调这些网络攻击的时间与常规军事活动(如动力打击或其他形式的破坏活动)相吻合,以便在乌克兰实现联合军事目标。这种活动模式的反复出现表明,它们要么受统一指挥,要么就与俄罗斯军队的其他部门进行了行动协调。
– 例如,2022年10月,在俄罗斯针对乌克兰能源网络发动冬季军事和无人机打击行动之际,APT44破坏了一家输电实体的IT和OT系统。值得注意的是,这一活动与微软独立分析所识别的同一时间段内APT44与俄罗斯军队其他部门之间协调行动的模式相一致。
Mandiant此前写过关于APT44转向纯粹破坏性工具作为维持战时行动节奏的策略。为进一步推进这种武器库管理策略,战争的第二年见证了该组织从”低权重”工具向”无权重”工具的进展,滥用常见实用程序和公开可用工具(如SDELETE、WinRAR或本地MicroSCADA二进制文件)而非自行开发的工具来实现破坏性目标。
• 随着战争的进展,Mandiant还观察到APT44在其破坏性活动之前,越来越多地依赖开源工具(如WEEVELY和REGEORG.NEO等web shell,以及CHISEL等隧道工具)来获取和扩大对网络的访问权限。
• 这些开源工具现成可用,其变种可按需创建,这几乎可以肯定为该组织提供了一个可消耗的新恶意软件储备,用于轮换投入破坏性行动,从而有助于轻易补充因先前使用而耗尽的变种。
2022 年乌克兰战争期间 APT44 破坏性行动的六个阶段
用于军事支持的间谍行动
在俄罗斯重新入侵的第二年,我们还看到APT44的间谍活动相对增加,以支持战场侦查和其他战术军事需求。这些活动包括明显侧重于通信系统和移动设备,是俄罗斯与军方有关的行为体转向试图从乌克兰军方使用的网络、设备和应用程序收集战术相关信息的更广泛转变的一部分。
– 至少可追溯到2023年4月,APT44已为可能部署在前线的俄罗斯军队配备了基础设施,用于从战场上捕获的移动设备窃取加密的Telegram和Signal通信。
– 相关基础设施包含了以俄语详细说明如何将受害者的聊天应用与行为体控制的基础设施关联的步骤(见图7)。要遵循这些说明,操作员几乎可以肯定需要物理访问正在配对的设备。
– 该基础设施还包含一个链接,用于联系APT44开发人员在行为体控制的Telegram账户,表明他们在努力为非技术操作员(如在乌克兰前线部署的俄罗斯军队)提供故障排查和支持。
正如Google的TAG所指出的,此行动的基础设施和工具还包含了贬低乌克兰人的语言,让我们一窥APT44操作员在为俄罗斯军事行动提供支持时的心态。
– 随着无人机在战场上取得成功的重要性日益上升,APT44还针对无人机制造和物流相关组织发起了多轮网络钓鱼活动。与APT44使用来自犯罪分子的恶意软件的做法一致,这些活动利用了一个已知的WinRAR漏洞,投放SMOKELOADER加载程序,随后在内存中加载RADTHIEF(又名Rhadmanthys Stealer)。
– 我们还观察到APT44针对获取对乌克兰平民和军人提供移动连接的互联网服务提供商和电信实体的访问权限的活动出现了激增。正如CERT-UA所强调的,这些APT44行动也不时被用于实施破坏性活动。
– 2023年8月,多个政府披露了APT44运营的另一种侦查为重点的能力”Infamous Chisel”,用于从Android设备收集信息,包括系统设备信息、商业应用程序信息,以及与乌克兰军方相关的应用程序信息。
放大网络活动的信息行动
多年来,APT44网络行动方式的一个特色是着力于试图产生二级心理影响,以增强其间谍和破坏活动。
自俄罗斯重新入侵乌克兰以来,这些努力有了演变,APT44借助一系列主要在Telegram上活动的前景身份,公开承认数据泄露和破坏性行动。
除了笨拙地试图最大化其行动影响外,我们评估这些后续信息行动很可能旨在服务于APT44的多重战时目标。这些目的包括在信息空间布置有利于俄罗斯的叙事,为国内外受众制造人们普遍支持这场战争的观感,并通过夸大影响的说法使GRU的网络能力显得更加强大。
APT44依赖传统的信息行动方式来实现其更广泛的目标。该组织的努力主要集中在黑客泄密或攻击泄密行动上,将敏感文件或先前网络行动的其他”证据”主要发布到Telegram,以吸引人们关注所谓的”影响”。与该组织战前利用Anonymous Poland和Guccifer 2.0等身份的做法一致,APT44继续培养黑客分子身份作为其后续信息行动的资产。它至少循环使用了三个主要的以黑客分子品牌命名的Telegram频道,为其战时破坏行动承担责任:XakNet Team、CyberArmyofRussia_Reborn1和Solntsepek。
• 我们评估APT44继续使用这些特定频道,是因为它们拥有既定的关注群体,并在更广泛的亲俄罗斯Telegram生态系统中占据影响力地位,我们怀疑GRU在随时间推动它们的知名度方面发挥了作用。尽管这些频道是并行运营的,但它们不会同时发布相同内容。
• APT44与每个前景身份的确切关系和控制程度可能各不相同。然而,我们观察到APT44与CyberArmyofRussia_Reborn(俄语:Народная CyberАрмия)之间存在最密切的行动关系,并判断操纵APT44背后的操作员有能力在多个平台上指挥和影响CyberArmyofRussia_Reborn的活动。
– Google的TAG观察到,CyberArmyofRussia_Reborn的YouTube频道是从归因于APT44的基础设施中创建的。该YouTube频道几乎没有任何参与,在被识别后也随即被终止。
– Mandiant观察到,已知APT44基础设施被用于从后来在CyberArmyofRussia_Reborn的Telegram频道泄露的受害者那里窃取数据,并且与该身份发布的权威性声明相邻的时间内有向Telegram的出口流量。
– 在一个案例中,一系列APT44操作员的错误导致CyberArmyofRussia_Reborn在Telegram上的声明先于他们所引用的网络攻击。
– 这些互动模式与TAG的评估一致,即CyberArmyofRussia_Reborn是由APT44创建和控制的。
– 在2023年重新打造为”黑客组织”并开始为APT44的破坏性网络行动承担责任之前,Solntsepek(俄语:Солнцепек)长期从事泄露乌克兰军人和安全人员的个人身份信息活动,表明该身份与GRU很可能存在既定关系。
– Mandiant评估,自重新打造以来,Solntsepek很可能被用作声称负责并泄露APT44破坏性网络攻击所窃取信息的主要渠道。
– Solntsepek的帖子反映了APT44在战争第二年的行动重点,比之前的APT44前景身份更多地声称对与军事相关的目标进行了网络攻击。
放大与APT44相关的Telegram帖子的后续努力似乎主要局限于在已建立的亲俄罗斯Telegram社区内交叉发布。例如,JokerDNR在Solntsepek频道刚刚推出时以及随后重新打造为黑客组织时,都发挥了重要的放大作用。虽然我们观察到有在其他社区通过defacement等有限尝试打入的情况,但我们怀疑该组织主要依赖于有机媒体报道来获取影响力和可信度,而不是投入资源在其他平台上传播其信息。Mandiant目前没有将JokerDNR身份归因于特定的威胁组织或赞助方。
CyberArmyofRussia\_Reborn视频内容声称操纵美国和欧洲关键基础设施OT资产
Mandiant追踪到的大多数来自与GRU相关的Telegram身份的攻击泄露活动都集中在乌克兰实体。然而,CyberArmyofRussia\_Reborn声称的入侵活动却并非如此局限。
• 2024年1月17日至18日期间,该组织的Telegram频道发布了视频,声称操纵了控制波兰和美国水利设施运营技术(OT)资产的人机界面(HMI)。
• 2024年3月2日,该组织发布了另一段视频,声称通过操纵水位扰乱了法国一处水电设施的发电。
• 每一段CyberArmyofRussia\_Reborn发布的视频似乎都展示了一个行为体在随意操作控制相应水利或水电设施OT资产的界面。
Mandiant目前无法独立验证上述声称的入侵活动或其与APT44的联系。然而,我们注意到,受影响的美国水利设施的官员后来公开承认了在CyberArmyofRussia\_Reborn视频中宣称的受害者实体中发生了事故。
• 在Telegram上发布声称攻击美国目标的大约两周后,一名地方官员公开确认了”系统故障”,导致其中一处声称的受害设施的一个储罐溢出。据报道,这一活动是影响多个本地美国水利基础设施系统的一系列网络事件的一部分,这些事件源于”他们使用的供应商软件使其水系统能够远程访问”。
要点
APT44继续在全球范围内构成最广泛且严重程度很高的网络威胁之一。它已在十多年来一直站在威胁环境的前沿,并对未来的网络攻击活动树立了一长串先例。APT44的高能力、冒险容忍度以及支持俄罗斯外交政策利益的远大授权的结合,使世界各地的政府、公民社会和关键基础设施与资源运营商面临随时可能进入该组织视野的风险。
历史活动模式,如试图影响选举或针对国际体育组织进行报复,表明未来可能驱使该组织行动的民族主义冲动是无限的。尽管偏好行动并注重心理效应,但APT44表现出了有耐心、有资源并能在受害环境中长期隐藏的能力。该组织的行动手册几乎可以肯定是为了能够在不被发现的情况下实施入侵而定制的,其使用开源和来自犯罪分子的恶意软件,往往会导致其活动被忽视为常见威胁。
有极高风险成为APT44目标的组织应优先检测生存于大地(LOTL)技术,并仔细调查商业可用的恶意软件是否为潜在的APT44活动。应对APT44时还应考虑该组织对反间谍风险的敏感性。这是一个非常注意事故响应和检测工作的行为体,在某些情况下,缓解工作可能会推动入侵向破坏性活动发展。
随着俄罗斯的战争持续,我们预计乌克兰将继续成为APT44行动的主要重点。然而,正如历史所示,该组织为支持克里姆林宫在全球范围内的更广泛战略目标而开展网络行动的准备工作,已根植于其任务中。我们评估,西方政治动态的变化、未来选举以及俄罗斯邻近地区的新兴问题,将继续塑造APT44在可预见的未来的行动。