在当前全球网络安全环境中,国家级高级持续性威胁(APT)组织的攻击手法持续演进,尤其是在地缘政治冲突频发地区。近期,乌克兰计算机应急响应小组(CERT-UA)披露了一场由俄罗斯关联的APT28组织发动的新型网络攻击活动。APT28利用Signal聊天软件作为攻击载体,传播被命名为BEARDSHELL和COVENANT的新型恶意软件,对乌克兰政府及相关军事人员展开精准攻击,体现出现代网络战的复杂严峻形势。APT28,又称UAC-0001或Fancy Bear,是由俄罗斯军事情报总局(GRU)支持的知名黑客组织,长期针对政府机构、军事目标及关键基础设施执行网络渗透任务。此次被CERT-UA发现的攻击流程显示,APT28巧妙地结合了多种技术漏洞利用和社交工程手段,进一步提高了攻击成功率。此次攻击通过Signal聊天软件分发恶意的Microsoft Word宏文档,文件名为“Акт.doc”,其中嵌入的宏代码在Windows系统中执行注册表修改,使恶意动态链接库(DLL)“ctec.dll”在系统进程explorer.exe启动时被加载。
同时,该DLL负责从伪装成PNG图片的“windows.png”文件中加载shellcode,实现内存驻留的COVENANT框架执行。COVENANT是一套基于.NET架构的命令控制系统,通过模拟HTTP请求与Koofr云服务架构进行交互,建立隐蔽的通信通道。它进一步下载两个中间载荷,最终部署BEARDSHELL后门。BEARDSHELL由C++语言编写,具备下载与执行PowerShell脚本的功能,并利用Icedrive云存储API上传执行结果。通过这种设计,攻击者能够远程控制受害系统,窃取情报并实施持续性渗透。值得注意的是,攻击中还发现了名为SLIMAGENT的截屏工具,显示攻击者注重情报采集的深度和广度。
关于APT28的初步入侵方式,CERT-UA随时间推进获得更多线索。去年ESET安全公司情报表明,APT28通过利用老旧Roundcube网邮服务中的跨站脚本(XSS)和SQL注入漏洞,侵入多家乌克兰政府邮箱系统。这些漏洞包括CVE-2020-35730、CVE-2021-44026及CVE-2020-12641,攻击者利用精心设计的钓鱼邮件诱使目标点击恶意链接,执行任意JavaScript代码,实现信息窃取及邮件转发规则篡改等功能。钓鱼邮件通常伪装成乌克兰权威媒体NV(nv.ua)发布的新闻报道,极具迷惑性。XSS漏洞使攻击者能够通过加载恶意脚本文件“q.js”、“e.js”及“c.js”控制邮件服务器,获取受害者联系人和会话信息,进一步扩大渗透范围。典型的攻击目标聚焦于乌克兰军事行政人员、地面部队以及后勤管理人员。
法国网络安全公司Sekoia对APT28的活动进行了命名为“Phantom Net Voxel”的跟踪,指出律师证件和操作文件中均有针对军事行政程序的文档内容,显示攻击者重视情报的时效性和针对性。其目标不仅仅是政府机构,更是插入战斗前线的关键人员,进行细致的侦察和潜伏,符合GRU军事情报机构的职责定位。面对如此复杂且隐蔽的攻击,乌克兰CERT-UA建议国家机构重点监控涉及“app.koofr[.]net”和“api.icedrive[.]net”两个域名的网络流量,这两个域名是COVENANT和BEARDSHELL通信的关键节点。及时审查异常访问并更新漏洞补丁是防御此类攻击的关键。值得强调的是,APT28的攻击手法综合利用了云服务API、合法通信协议及文件隐写技术,增强了恶意软件的隐蔽性与持久性。传统基于文件签名的防御机制难以有效拦截,需借助行为分析和威胁情报共享提升检测能力。
对于公共云服务提供商而言,加强API访问控制、异常行为识别和权限管理是防护重点。此次事件暴露了多层次的网络安全漏洞,包括过时的软件版本、邮件系统配置不当以及缺乏多因素认证的邮箱保护措施。跨站脚本和SQL注入漏洞作为常见攻击载体,依旧是网络攻防的焦点,凸显软件供应链安全和代码审查的重要性。企业与政府组织应完善应急响应流程,及时响应和缓解入侵。APT28利用Signal这样的加密即时通讯软件作为攻击载体,显示网络攻击手段更加多样且难以追踪,普通用户对安全意识的提升依然迫切。对防护人员而言,理解攻击者的战术、技术和程序(TTPs)便于构建针对性的防御机制。
此次乌克兰目标遭受的威胁,正验证了网络战已成为现代冲突的重要组成部分。随着技术进步,攻击者对加密和匿名技术的利用日益成熟,防御者需通过国际合作、情报共享和先进的安全技术手段应对复杂多变的威胁环境。总的来说,APT28发动的此次网络攻击活动,结合Signal软件的传播通道、新颖的BEARDSHELL后门与COVENANT指控控制框架,代表了现代APT攻击的高度隐蔽性及技术复杂度。防御者应以此为警醒,持续提升安全治理水平,加强漏洞修补与访问控制,强化网络态势感知和威胁狩猎能力,保障重要系统和人员的网络安全。此举不仅有助于保护国家关键基础设施安全,更是维护网络空间秩序与和平的重要力量。未来,随着国家间网络对抗趋势加剧,针对军政目标的网络攻击将呈现更高的隐秘性和破坏力,全球安全界应持续关注并合作应对此类威胁。
。
