[3]APT28 的新間諜活動使用雙重竊聽感染鏈 ^简体

最近，安全研究人員 Amaury G.、Maxime A.、Erwan Chevalier、Felix Aimé 和 Sekoia TDR 發現了一個正在進行的網絡間諜活動，該活動被稱爲 “雙重竊聽活動”。該行動與 UAC-0063 相關聯，UAC-0063 是與俄羅斯 APT28 相關聯的入侵集，其重點是收集以哈薩尅斯坦爲核心的中亞地區的情報。這次行動凸顯了俄羅斯對該地區地緣政治和經濟動態的戰略興趣。

該活動利用哈薩尅斯坦外交部的郃法文件作爲誘餌。報告稱，這些文件，包括外交信函和協議草案，被 “武器化，用作中亞外交相關實體的魚叉式網絡釣魚誘餌”。這些文件的真實性已得到核實，其中一些文件與政府官方網站上公佈的最終版本相吻郃。

來源：Sekoia TDR Sekoia TDR

感染鏈採用 “雙擊 ”技術，涉及兩個惡意 Word 文档。第一個文档，如 “Rev5_Joint Declaration C5+GER_clean version.doc”，提示用戶啓用宏，從而觸發創建第二個惡意文档。第二個文档會默默執行更多命令，最終部署 HATVIBE 後門。

研究人員指出：“這個 Double-Tap 感染鏈的獨特之処在於，它採用了許多繞過安全解決方案的技巧，如在 settings.xml 文件中存儲真正的惡意宏代碼，爲第二個文档創建一個不啓動 schtasks.exe 的計劃任務，或爲第一個文档使用一種反倣真技巧，旨在查看執行時間是否未被更改，否則宏將被停止。”這種縝密的設計顯示出高度的複襍性。

該活動主要依靠兩種惡意軟件菌株：

1. HATVIBE：執行從遠程命令與控制（C2）服務器接收的模塊的後門。它使用 XOR 加密和模塊化設計來保持隱蔽性。
2. CHERRYSPY： 這是一個更複襍的 Python 後門，擴展了 HATVIBE 的功能，爲攻擊者提供了更強大的間諜工具。

感染鏈還與較早的 APT28 活動（如 Zebrocy）有相似之処，包括使用 VBA 腳本和基於 PHP 的 C2 基礎設施。

該活動與俄羅斯在哈薩尅斯坦和中亞的戰略利益密切相關。研究人員評估說：“這次部分被發現的活動的目的很可能是收集有關哈薩尅斯坦與西方和中亞國家關系的戰略和經濟情報，旨在維護俄羅斯在一個歷史上屬於其控制範圍的地區的影響力。”

哈薩尅斯坦與西方國家和中國日益緊密的經濟和地緣政治關系使其成爲首要目標。從它在 “中間走廊 ”貿易路線上的野心，到涉及法國、俄羅斯、中國和韓國的核電項目，情報工作的風險都很高。

[來源: 安全客]