随着网络攻击手段的不断升级,威胁行为者越来越倾向于采用隐蔽且难以检测的技术来入侵目标系统。稀有狼人APT组织,即Rare Werewolf,近年来在俄罗斯和独联体国家展开多次复杂的攻击活动,其显著特点是善于利用合法软件执行恶意操作,从而降低被安全防护系统识别的风险。该APT组织也被称为Librarian Ghouls和Rezet,自2019年以来持续活跃,目标多为工业企业、工程院校及其他关键基础设施单位。稀有狼人APT采用了一种独特的战术:通过钓鱼邮件投递含有密码保护压缩档案的恶意载荷,诱使受害者打开内含的执行文件。一旦启用,安装程序会部署一款名为4t Tray Minimizer的合法软件,这款工具通常用于将运行中的应用程序最小化到系统托盘,攻击者则利用其隐藏恶意行为,降低被发觉的概率。同时,攻击载荷还包括伪装成付款单的PDF诱饵文档,进一步欺骗用户。
通过这些中间程序,稀有狼人APT能够远程下载更多工具和恶意软件,如Defender Control,一款用于禁用Windows防病毒防护功能的工具,WebBrowserPassView帮助窃取浏览器存储的密码,Blat则作为合法的SMTP邮件发送工具,将窃取的数据回传给攻击者。此外,攻击者利用AnyDesk远程桌面软件获得对被感染设备的远程控制权限。批处理脚本和PowerShell脚本的结合使得稀有狼人能够实现自动唤醒受害计算机,在夜间特定时间段开启远程访问,并在完成操作后自动关闭系统,极大地提高了攻击的隐蔽性和效率。值得注意的是,该APT不仅仅依赖于开发定制恶意软件,而是更多地利用社区广泛认可的合法工具进行攻击,这一做法极大地复杂化了检测和归属分析。这种策略使得防御方难以识别攻击信号,因为常用工具本身无害,只有通过其被滥用的行为才能推断攻击活动。稀有狼人APT的主要目的包括建立持久远程访问权限、窃取关键凭据以及部署XMRig加密货币挖矿软件。
这些操作不仅危害目标组织的网络安全,还对其资源尤其是计算能力造成损耗,甚至可能影响正常业务运行。此次攻击波及众多俄罗斯用户,除了工业企业外,工程类高等院校也成为频繁被攻目标,其影响力还扩展至白俄罗斯和哈萨克斯坦等邻国。值得一提的是,与稀有狼人相似,另一个名为DarkGaboon的财务动机型网络犯罪组织也频繁针对俄罗斯企业发起攻击,采用LockBit 3.0勒索软件及多种木马工具,这反映出当前针对俄罗斯的网络威胁日益严峻且多样化。面对稀有狼人APT的复杂攻击手法,企业和安全团队必须采取多层次的防御策略。首先,加强员工的安全意识培训,防止钓鱼邮件的点击。其次,部署先进的入侵检测和行为分析系统,以识别利用合法工具进行异常操作的迹象。
定期更新并强化终端防护措施,阻止恶意脚本和批处理命令的执行。同时,严格的访问控制和权限管理也是降低风险的关键。通过限制远程桌面工具的使用权限,监控其运行状况,能够防止攻击者借助类似AnyDesk的软件获得非法访问。网络安全的动态防御要求企业时刻关注威胁情报的最新动态,理解威胁组的战术、技术和程序(TTPs),并调整安全策略以应对不断变化的攻击形态。稀有狼人APT利用合法软件的方式提醒我们,传统依赖于签名检测的安全措施已难以应对现代网络威胁。未来网络防御将更加依赖于行为分析、异常检测及人工智能辅助的安全技术,以应对攻击者利用正常工具开展的隐匿攻击。
综上所述,稀有狼人APT的袭击揭示了网络攻击者利用合法软件隐蔽恶意行为的新趋势,也给俄罗斯及周边国家的关键行业敲响了警钟。企业应结合最新的安全情报并持续优化自身的防御架构,才能有效抵御此类高级持续性威胁,保障信息资产和业务的安全稳定运行。
