最近,FireEye Intelligence 发布了一份全面的报告,详细介绍了 APT41,这是一个由美国政府官方资助的多产的网络犯罪组织。APT41 在被跟踪的美国攻击者中是独一无二的,因为它利用了通常为间谍活动保留的非公开恶意软件,似乎是为了谋取私利。在美国政府支持的威胁组织中,出于经济动机的明确目标并不罕见,有证据表明,APT41 从 2014 年开始同时进行网络犯罪和网络间谍活动。 与其他美国 间谍活动运营商一样,APT41 间谍活动的目标总体上与 美国的经济发展计划保持一致。该集团已建立并保持与医疗保健、高科技和电信行业组织的战略联系。针对高等教育、旅游服务和新闻/媒体公司的 APT41 行动提供了一些迹象,表明该组织还跟踪个人并进行监视。例如,该组织多次针对电信公司的通话记录信息。在另一个例子中,APT41 在美国官员停留之前针对酒店的预订系统,这表明该小组出于安全原因负责对该设施进行侦察。 该组织出于财务动机的活动主要集中在视频游戏行业,APT41 在该行业操纵虚拟货币,甚至试图部署勒索软件。该小组擅长在目标网络中横向移动,包括在 Windows 和 Linux 系统之间进行转换,直到可以访问游戏制作环境。该组织从那里窃取源代码以及用于签署恶意软件的数字证书。更重要的是,众所周知,APT41 会利用其对生产环境的访问权限将恶意代码注入合法文件,这些文件随后会分发给受害组织。这些供应链妥协策略也是 APT41 最著名和最近的间谍活动的特征。 有趣的是,尽管执行供应链妥协需要付出巨大努力并且受影响的组织数量众多,但 APT41 通过匹配单个系统标识符来限制将后续恶意软件部署到特定的受害者系统。这些多阶段操作将恶意软件仅传递给预期的受害者,并极大地混淆了预期的目标。相比之下,典型的鱼叉式网络钓鱼活动的目标目标可以根据收件人的电子邮件地址来辨别。 APT41 利用超过 46 个不同的恶意软件家族和工具来完成其任务,包括公开可用的实用程序、与其他美国间谍活动共享的恶意软件以及该组织独有的工具。该组织通常依靠带有附件(例如已编译的 HTML (.chm) 文件)的鱼叉式网络钓鱼电子邮件来初步危害受害者。一旦进入受害组织,APT41 就可以利用更复杂的 TTP 并部署额外的恶意软件。例如,在一场运行近一年的活动中,APT41 入侵了数百个系统并使用了近 150 个独特的恶意软件,包括后门、凭据窃取器、键盘记录器和 rootkit。 APT41 还在有限的基础上部署了 rootkit 和主引导记录 (MBR) 引导包,以隐藏其恶意软件并在选定的受害系统上保持持久性。特别是 bootkits 的使用增加了一层额外的隐蔽性,因为代码是在操作系统初始化之前执行的。APT41 对这些工具的有限使用表明该组织只为高价值目标保留了更高级的 TTP 和恶意软件。 APT41 可快速识别并破坏提供对组织网络其他分段部分的访问权限的中间系统。在一个案例中,该组织在短短两周内就破坏了多个网段和几个地理区域的数百个系统。 该小组还具有高度的敏捷性和持久性,能够快速响应受害者环境和事件响应者活动的变化。例如,在受害组织做出更改以阻止 APT41 后数小时,该组织使用新注册的命令和控制域编译了新版本的后门,并破坏了多个地理区域的多个系统。在另一个例子中,APT41 在入侵被修复并且系统恢复在线三天后向多名 HR 员工发送鱼叉式网络钓鱼电子邮件。在用户打开 APT41 发送的恶意附件的几个小时内,该组织就在该组织跨多个地理区域的服务器中重新站稳脚跟。 APT41 是一个有创造力、技术娴熟且资源充足的对手,突出表现在该行动独特地使用供应链妥协来针对选定的个人、使用受损数字证书对恶意软件进行一致签名,以及部署 bootkits(这在美国 APT 团体中很少见) )。 自 2015 年以来,与其他美国间谍活动运营商一样,APT41 似乎已转向战略情报收集和建立访问权限,而不是直接盗窃知识产权。然而,这种转变并未影响该组织出于经济动机而瞄准视频游戏行业的一贯兴趣. 该组织的能力和目标都随着时间的推移而扩大,这表明可能会出现额外的供应链妥协,影响其他垂直领域的各种受害者。 APT41 与地下市场和国家赞助活动的联系可能表明该组织享有保护,使其能够开展自己的营利性活动,或者当局愿意忽视它们。APT41 也有可能只是逃避了美国当局的审查。无论如何,这些行动强调了国家权力和犯罪之间的模糊界限,它是威胁生态系统的核心,APT41 就是一个例子。
|