黑客活动分子与APT组织攻击俄罗斯组织的TTP分析

卡巴斯基研究报告深入分析了2025年针对俄罗斯组织的黑客活动分子和APT组织的战术、技术与程序,揭示了三大威胁集群的合作模式、共享工具链及攻击手法,为SOC和威胁狩猎团队提供可操作的技术洞察。

分析针对俄罗斯组织的黑客活动分子和APT组织的TTP

关于本报告

黑客活动主义和地缘政治动机的APT组织近年来已成为全球许多地区的重大威胁,损害政府、企业和社会的重要功能与基础设施。我们在2022年底预测,黑客活动主义团体在未来所有主要地缘政治冲突中的参与度只会增加,这也是我们近年来观察到的趋势。就乌俄冲突而言,这导致自称为亲乌克兰或亲俄罗斯的团体活动急剧增加。

地缘政治紧张局势下网络犯罪的上升令人担忧。我们的卡巴斯基网络威胁情报团队一直在观察多个在地缘政治冲突区域运作的、具有地缘政治动机的威胁行为体和黑客活动主义团体。通过收集和分析这些团体的战术、技术和程序的大量数据,我们发现了一个令人担忧的趋势:黑客活动分子与出于经济动机的团体之间的联系日益紧密。他们共享工具、基础设施和资源。

这种合作具有严重的影响。他们的活动不仅可能扰乱商业运营,还可能影响普通公民的生活,从银行服务到个人数据安全或医疗系统的运作。此外,货币化的技术可能呈指数级传播,因为全球寻求利润的行为者会复制和完善这些技术。我们认为这些技术发现对全球网络安全工作而言是宝贵的资源。在本报告中,我们分享了对自称为亲乌克兰的威胁行为体的观察。

本报告的主要目标是提供技术证据,支持我们基于先前研究提出的理论:我们在此描述的大多数团体积极合作, effectively forming three major threat clusters.

本报告包括:

  • 截至2025年的威胁团体库,包含其主要TTP和工具的详细信息。
  • 对这些团体使用的标志性战术、技术、程序和工具集的技术描述。此信息供SOC、DFIR、CTI和威胁狩猎专业人员实际使用。

本报告涵盖内容

本报告包含关于2025年针对俄罗斯组织的黑客活动分子和APT组织当前TTP的信息,但他们的目标不限于俄罗斯。进一步研究表明,在某些团体的目标中,例如CloudAtlas和XDSpy,包括欧洲、亚洲和中东国家的资产。特别是,2024年在斯洛伐克和塞尔维亚发现了感染痕迹。本报告未包含在2025年出现的团体,因为我们没有足够的时间研究其活动。我们根据TTP将所有团体分为三个集群:

  • 集群 I 结合了使用类似战术、技术和工具的黑客活动主义和双重目的团体。该集群的特点是:
    • 共享基础设施
    • 独特的软件套件
    • 相同的进程、命令行、目录等
    • 独特的TTP
  • 集群 II 包含与黑客活动分子具有不同TTP的APT组织。其中,我们可以区分简单的APT(其特征是使用第三方实用程序、执行所有恶意逻辑的脚本、共享域名注册商,以及通过反向代理系统隐藏其真实基础设施——例如使用Cloudflare服务)和更复杂的APT(以其独特的TTP区分)。
  • 集群 III 包括我们未观察到与本文描述的其他团体合作迹象的黑客活动主义团体。

示例:2025年俄罗斯的网络威胁形势

如今,黑客活动主义仍然是俄罗斯企业及其他冲突地区企业面临的主要威胁,并且这些攻击的规模和复杂性不断增长。传统上,“黑客活动主义”一词指的是黑客行为与行动主义的结合,攻击者利用其技能实现社会或政治目标。在过去几年中,这些威胁行为体变得更有经验和组织性,相互合作并分享知识和工具以实现共同目标。

此外,近年来俄罗斯威胁形势中出现了一种称为“双重目的团体”的新现象。我们检测到黑客活动分子与出于经济动机的团体之间存在联系。他们使用相同的工具、技术和战术,甚至共享共同的基础设施和资源。根据受害者的不同,他们可能追求多种目标:要求支付赎金以解密数据、造成不可挽回的损害或将窃取的数据泄露给媒体。这表明这些攻击者属于一个单一的复杂集群。

除此之外,“传统”类别的攻击者继续在俄罗斯和其他地区活动:从事网络间谍活动的团体和纯粹出于经济动机的威胁行为体也仍然是一个重大问题。与其他团体一样,具有地缘政治动机的团体是网络犯罪分子,他们破坏了数字化机遇的安全和可信使用,并且他们可以根据政治事态发展改变和调整其目标区域。

这就是为什么了解那些似乎正在攻击其他目标的威胁行为体所使用的TTP也很重要。我们将继续监控具有地缘政治动机的威胁行为体,并发布关于其TTP的技术报告。

建议

为防御本报告中描述的威胁,卡巴斯基专家建议如下:

  • 为您的SOC团队提供有关最新攻击者战术、技术和程序的最新信息。来自可靠供应商的威胁情报源,如卡巴斯基威胁情报,可以在这方面提供帮助。
  • 使用结合了集中监控和分析、高级威胁检测与响应以及安全事件调查工具的综合安全解决方案。卡巴斯基 NEXT XDR平台提供此功能,适用于任何行业的中型和大型企业。
  • 使用专门的OT安全解决方案保护现代和传统工业自动化系统的每个组件。卡巴斯基工业网络安全——一个XDR级平台——为能源、制造、采矿和运输领域的关键基础设施提供可靠保护。
  • 对员工进行定期的安全意识培训,以降低网络钓鱼和其他社会工程攻击成功的可能性。卡巴斯基自动化安全意识平台是一个不错的选择。

本报告可供我们的合作伙伴和客户使用。如果您感兴趣,请联系 report@kaspersky.com

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次