APT29

APT29 （又名 CozyBear、The Dukes、Group 100、CozyDuke、EuroAPT、CozyCar、Cozer、Office Monkey、YTTRIUM、Iron Hemlock、Iron Ritual、Cloaked Ursa、Nobelium、Group G0016、UNC2452、Dark Halo、NobleBarron）是自 2008 年以来活跃的高级持续威胁行为体 (APT)，被认为是俄罗斯政府对外情报局 (SVR) 的产物。很少有威胁行为者能像 APT29 一样表现出技术规律和复杂性，尤其是在适应防御性 IT 安全战术、渗透防御良好的网络和部署具有反取证能力的恶意软件方面。

APT29 的主要目标是美国和欧洲的政府和政府分包商、政治组织、研究公司以及能源、医疗保健、教育、金融和技术等关键行业。APT29 的主要目的是破坏国家安全、影响关键基础设施并造成政治干扰。

2015:APT29 通过网络钓鱼初步接入五角大楼网络，并引入 "Hammertoss "技术，使用虚假 Twitter 账户进行 C2 通信

2016:在一次名为 "GRIZZLY STEPPE "的活动中，APT29 在临近美国大选时通过网络钓鱼活动入侵了民主党全国委员会的服务器，引导受害者使用欺骗网站更改密码

2019年：欧盟三个国家事务部和一个欧盟国家驻华盛顿大使馆的妥协

2020:对面向公众的 IP 地址进行漏洞扫描，以控制加拿大、美国和英国的 COVID-19 疫苗开发人员

2020:分发 SUNBURST 恶意软件，攻击 SolarWinds Orion 软件，投放远程访问木马 (RAT)，影响了许多全球性组织

APT29 采用了复杂且不断发展的隐身技术，展示了先进的作战能力。例如，APT29的恶意软件率先从Twitter、Dropbox和GitHub等知名公共网站收集第一阶段的命令和控制（C2）指令，从而绕过了基本的防火墙防御。该恶意软件巧妙地采用了动态用户名算法，避免硬编码 C2 域或 IP 地址。在另一个例子中，APT29 的恶意软件使用隐写术对图片中的 C2 位置进行加密，使其能够规避防火墙、URL 过滤器和安全产品--甚至是那些配备了最新威胁情报的产品。  

在 C2 后端，APT29 不断更新新入侵的典当资产列表，以避免依赖合法提供商的静态云基础设施。

tDiscoverer/Hammertoss：利用 Twitter 和 GitHub 等社交媒体平台隐藏 C2 通信，避免被发现

宇宙公爵一种信息窃取程序，能够从各种应用程序中获取登录信息，并将其转发到攻击者控制的 C2 服务器上

CozyCar：一种模块化的 RAT，能够导入具有不同功能的组件来扩展攻击范围

LiteDuke：第三级信息窃取程序，使用多层加密混淆和多种持久性技术，包括 Windows 注册表密钥、PowerShell 和 Windows 管理工具。

RegDuke用 .NET 编写的第一级恶意软件，可使用 DropBox 作为 C2 服务器下载二级恶意软件，并通过将自身注入 winword.exe 二进制文件来保持持久性。

迷你杜克用 x86 汇编语言而非编译编程语言开发的二级下载程序，使用域生成算法动态定位 C2 服务器

PolyglotDuke：二级下载恶意软件，能够使用隐写术和 Twitter、Reddit 和 Imgur 网站获取 C2 服务器位置

SeaDuke：用 Python 编写的第二阶段信息窃取 RAT，编译后可在基于 Microsoft Windows、Linux、macOS 和 Solaris 的平台上执行

APT29 曾多次入侵美國政府機構和滲透 SolarWinds 等大型企業 IT 公司，這證明了 APT29 的決心和能力。要抵禦 APT29 針對組織的攻擊，就必須利用最先進的安全解決方案，實施全面的企業網絡安全計劃，包括電子郵件和網頁內容過濾、用於檢測惡意軟體並防止其侵入組織網絡的先進防病毒軟件，以及用於有效和高效地識別惡意軟體感染並迅速採取行動以縮短其停留時間和防止其影響關鍵資產的端點檢測和回應 (EDR)或管理檢測和回應 (MDR )。

在设计能够抵御 APT29 的有效网络安全计划时，还应考虑到最小特权原则、纵深防御、零信任架构和多因素身份验证，以分割和保护关键资产，减少攻击者在获得初步立足点后可能造成的潜在破坏。