[[169820]]

1. 前述

(1) 俄羅斯APT攻擊經常以微軟系列軟件為利用目標，其中對Office、Windows 和IE瀏覽器漏洞的使用占比為55%。這種對大量通用軟件的漏洞利用，也為國家支持的網絡攻擊提供了便利條件;

(2)俄羅斯APT的魚叉式郵件中經常利用微軟Office系列漏洞，如APT28就大量使用Excel和Word漏洞文檔作為誘餌;

(3) 與俄羅斯軍事情報局(GRU)相關的APT28，利用了22個公開漏洞，其中有7個為利用代碼未知的漏洞;

(4)與俄羅斯聯邦安全局(FSB)相關的APT29，利用了5個與APT28完全不一樣的公開漏洞;

(5)俄羅斯APT攻擊所利用的漏洞，有73%左右可以在Metasploit、Exploit Database和GitHub等公開網絡中找到可用的漏洞利用代碼;

(6)俄羅斯APT攻擊所利用的漏洞，有46%左右與網絡犯罪組織使用的漏洞利用工具包相關。

Recorded Future通過對俄羅斯APT組織的關注，重點分析了33個被廣泛用于信息竊取和滲透入侵的已知漏洞。其中27個漏洞與俄羅斯軍事情報局(GRU)和聯邦安全局(FSB)的APT28和APT29相關。

最近在美國總統選舉活動中的民主黨委員會(DNC)網絡攻擊和信息泄露事件，讓俄羅斯攻擊威脅處于風口浪尖。Crowdstrike于2016年6月在DNC電腦系統中先后發現了APT29和APT28的滲透痕跡，APT29和APT28分別于2015年夏季和2016年4月入侵DNC系統獲得控制權限。

而同屬俄羅斯國家支持黑客參與的Energetic Bear和Turla APT攻擊，也大量使用了微軟系列軟件漏洞。

俄羅斯APT攻擊組織對微軟Office系列產品公開漏洞的不同利用方式，顯示出其獨特的技術能力特點。

2. 方法論

本文主要分析與俄羅斯國家支持的相關APT和惡意軟件攻擊，由于沒有原始的APT惡意軟件樣本作為分析指導，Recorded Future的分析來源包括公開博客、論壇、分享網站、代碼及惡意軟件庫、社交媒體和已發布報告。本文分析重點為俄羅斯APT攻擊的總體趨勢和利用技術，與近期DNC攻擊事件無關。

3. 范圍

Recorded Future分析了從2012年1月1日到2016年7月31日期間與俄羅斯APT攻擊相關的開源網絡信息和漏洞信息。

重點涉及以下四個與俄羅斯相關的APT和惡意軟件攻擊：

(1) APT28又名 Fancy Bear、Operation Pawn Storm、 Strontium、 Sednit、 Sofacy和Tsar Team ，可能與俄羅斯軍事情報局GRU相關(ГлавноеРазведывательное Управление)

(2)APT29 又名Cozy Bear、The Dukes 、Office Monkeys，可能與俄羅斯情報機構聯邦安全局FSB相關(Федеральная служба безопасности Российской Федерации)

(3)Energetic Bear 又名 Crouching Yeti,Dragonfly、Group 24和 Koala Team，可能與 Havex系列惡意軟件攻擊相關

(4)Turla又名Epic Turla、Snake、Ouroboros和Carbon，可能與 Agent.BTZ 惡意軟件攻擊相關

4. 結論

被俄羅斯APT組織經常進行漏洞利用的系列辦公軟件：

以公司分類：

俄羅斯APT攻擊利用的相關漏洞：

5. 對已知漏洞的利用

俄羅斯APT攻擊的技術方式與其它APT類似：魚叉式郵件、虛假域名、網絡釣魚、社會工程、水坑攻擊等。其中，對Office和Adobe PDF漏洞的大量利用可能與國家支持的網絡攻擊相關，不同于勒索軟件出于錢財的目的，國家支持的攻擊對攻擊目標和獲取信息的針對性更強。

6. 觀點

通過對APT28和APT29利用的漏洞分析，印證了之前很多安全專家的結論：這兩個APT攻擊可能與GRU和FSB兩個俄羅斯獨立的情報機構相關。有趣的是，據Crowdstrike分析聲稱，這兩個APT攻擊都不約而同地竊取了DNC系統中相同的數據信息。

四個APT攻擊中使用的軟件漏洞情況：

7. 網絡犯罪組織漏洞利用工具包 VS 俄羅斯APT利用的漏洞

俄羅斯APT攻擊中利用的漏洞，有46%與網絡犯罪組織使用的工具包漏洞相同，這些工具包被大量用于地下暗網買賣和勒索軟件活動中。

俄羅斯APT利用漏洞 與 工具包漏洞重疊度分析：(按照不同軟件區分)

俄羅斯APT攻擊中利用的漏洞，有73%為利用代碼已知漏洞，雖然很難確定攻擊發生和漏洞利用代碼公開的具體時間，但總體來說，有幾個方面的原因：

(1)流行軟件存在很多漏洞;

(2)利用流行軟件漏洞，可以增加滲透入侵的成功率;

(3)流行軟件漏洞對迷惑歸因調查有幫助

俄羅斯APT漏洞利用代碼的公開程度：

8. 影響

國家支持的網絡滲透需要成功的定向植入攻擊。Windows每天有15億人次的使用量，另外，有12億人次安裝了Office軟件，俄羅斯APT“碰運氣”的攻擊成功率仍然較大。美國的電腦系統中有85%的用戶安裝有JAVA和Adobe PDF軟件，其大量存在的漏洞可被攻擊者利用。

9. 建議

1) 更新本文提到的軟件漏洞;

2) 指導企業進行網絡和電子郵件安全意識培訓;

3) 必要時請使用雙因素認證和VPN;4) 強制區分用戶權限;

5) 在Adobe FlashPlayer中啟用“clickto play”功能;

6) 考慮替代的PDF閱讀器軟件;

7) 警惕不明身份電子郵件地址發送的郵件。