【安全资讯】俄罗斯军事黑客APT28重拾高级恶意软件，加强对乌克兰间谍活动

概要：

网络安全形势持续紧张，国家背景的黑客组织活动日益猖獗。据ESET最新报告，与俄罗斯军事情报机构GRU关联的APT28组织已重新启用一套先进的网络间谍工具包，旨在长期监控乌克兰军事人员等目标。这一动向标志着该组织战术的显著转变，从依赖简单的网络钓鱼转向部署复杂的定制化恶意软件，对地区安全构成严重威胁。

主要内容：

ESET研究人员发现，自2024年4月起，APT28（又名Fancy Bear）的高级开发团队重新活跃，其攻击武器库围绕两个名为BeardShell和Covenant的植入程序构建。BeardShell是一个复杂的后门，允许攻击者在受感染机器上执行PowerShell命令，实现长期监控。Covenant则是一个经过高度修改的开源命令与控制框架，用于数据窃取和横向移动。两者常被组合部署，以确保即使在主要基础设施被破坏时也能维持访问。

此次战术回归可能与2022年俄乌冲突升级有关。APT28在2010年代曾广泛使用Xagent等复杂工具，但约在2019年后转向主要依赖钓鱼攻击。如今，他们重拾定制恶意软件，表明其攻击能力与决心均有提升。例如，SlimAgent间谍程序被认为是Xagent键盘记录模块的更新版，能记录击键、截屏并收集剪贴板数据。

该组织的活动已产生广泛国际影响。上月，研究人员发现APT28利用Microsoft Office漏洞，针对乌克兰、波兰、希腊等多国的海事、运输和外交实体发起“复杂间谍活动”。此外，德国曾因指控APT28对其空中交通管制机构进行网络攻击并干预大选，而召见俄罗斯大使。这些事件凸显了国家级网络行动的复杂性与破坏力，对全球关键基础设施和地缘政治稳定构成了持续挑战。