【安全资讯】疑似APT28利用高碳铬铁生产商登记表为诱饵的攻击活动分析

近日，研究人员捕获两例哈萨克斯坦地区的上传样本，样本以哈萨克斯坦Kazchrome企业信息为诱饵，Kazchrome据称是全球最大的高碳铬铁生产商。诱导受害者启用恶意宏，一旦宏被启用后，恶意宏将释放执行远控木马到计算机执行，经分析溯源发现，释放执行的木马疑似是奇幻熊组织常用Zebrocy变种。

奇幻熊组织，业界对其有各种别名：APT28、Sednit、Pawn Storm、Sofacy Group、STRONTIUM，主要针对高加索和北约开展网络攻击活动，近期其目标越来越多出现在中亚地区，主要攻击领域为对政府军事和安全组织。

获的样本诱饵名均是俄语，且都采用相同的恶意宏进行攻击，诱饵类型伪装成备忘录以及高碳铬铁生产商Kazchrome登记表以诱导受害者启用宏。诱饵信息如下图所示。

宏代码会解密执行PE文件，通过关联分析发现本次样本与2019年疑似该组织的样本存在相似代码，并且本次的C2也是使用十六进制字符串存放，与之前的APT28常用手法类似，综上所述，我们判定此次攻击活动幕后黑手疑似APT28组织来源。

总结：
APT28组织近年一直活跃，它的目标越来越国家，其Zebrocy家族木马包括Delphi、GO、AutoIT等多个语言版本。攻击手法复杂多变，是一个技术极高的攻击组织。
此次捕获的样本主要针对南亚某国开展攻击活动，暂未发现影响国内用户。但防范之心不可无，再次提醒各企业用户，加强员工的安全意识培训是企业信息安全建设中最重要的一环，如有需要，企业用户可以建设态势感知，完善资产管理及持续监控能力，并积极引入威胁情报，以尽可能防御此类攻击。