APT29，又名Nobelium、CozyBear，被认为是具有东欧政府背景的APT组织，它们的主要攻击目标覆盖欧洲、北美、亚洲等地区国家，主要对象在于英美等国，具体行业目标则为政府、科研机构、智囊团、高科技企业或供应商等。

一、APT29组织介绍及近期主要活动

APT29至少自2008年开始活跃，其最初映入公众眼帘是在2009年Dukes早期工具集曝光，木马的新颖之处在于使用Twitter社交平台存放恶意网络资产、以此为跳板进行后续网络交互行为。

- 从2022年1月中旬开始，APT29使用BEATDROP和BOOMMIC下载器的部署。在识别此活动后不久，Mandiant发现了APT29通过一系列网络钓鱼浪潮发起的针对多个其他外交和政府的攻击。

- APT29 在今年上半年被披露的鱼叉攻击活动中屡次利用合法通信服务作为 C&C 信道 ，比如团队协作服务 Trello 和文件托管服务 Dropbox，APT29通过一系列网络钓鱼浪潮发起的针对多个其他外交和政府的攻击。

- 江民赤豹反病毒实验室发现东欧背景APT组织 APT29 利用“鲜为人知”的 Windows 功能，对未具名欧洲外交实体进行网络攻击活动，以外交实体为目标与APT29组织长期行动目标一致。

二、APT29组织行为特征及识别方法

1. 2022年初，APT29出现在受害者网络内的时间里发现了凭证漫游的使用，并对活动目录系统进行了“大量具有非正常性的LDAP查询”。在Windows Server 2003 Service Pack 1（SP1）中引入的凭证漫游是一种机制，允许用户以安全的方式在Windows域的不同工作站中访问他们的凭证（即私钥和证书）。目前该漏洞已在微软2022年9月13日 补丁星期二 更新中得到解决。

2. APT29发送的钓鱼邮件伪装成与各大使馆有关的行政通知，并利用合法的第三方邮件地址发送电子邮件，通过Atlassian的Trello服务进行指挥和控制通信（C2)。它们以外交机构为目标，使用ROOTSAW提供额外的木马程序，并滥用Firebase或DropBox进行C2通信。对合法网络服务（如Trello、Firebase或DropBox）的滥用很可能是为了加大检测或补救的难度。

在历史披露的安全事件当中，发现APT29使用的木马工具集（主要指初始投递到PC的前阶段载荷），分为三大类：The Dukes系列、WellMess系列、Nobelium系列，各个系列的前期攻击载荷使用的木马存在较大差异。

江民赤豹反病毒实验室给出的对抗防御措施

1、安装江民反病毒并将病毒库升级为最新版本，并定期进行全盘扫描。

2、在使用移动介质前，应对移动介质内文件进行扫描确认不携带病毒文件。

3、不打开陌生电子邮件，防止鱼叉式钓鱼式攻击。

4、及时更新操作系统及应用软件补丁，防止漏洞利用攻击。

5、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

6、不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

7、定期进行目标机器的异常检查，包括是否出现新增账户、Guest是否被启用、系统日志是否存在异常、杀毒软件是否存在异常拦截等。

江民赤豹反病毒实验室介绍

江民赤豹反病毒实验室专注反病毒技术研究，拥有自主研发的文件威胁检测引擎、AI威胁检测引擎、流迭代威胁检测引擎等多款反病毒引擎产品，形成了全平台的恶意代码防御体系，并针对日新月异的网络安全环境，提供安全事件应急响应、恶意代码分析处置等多种安全服务。江民赤豹反病毒实验室致力于提供了全面、系统、一体化的网络安全防护，为客户提供强大技术支撑。