报告概要在JAR-16-20296和本报告之前,一些网络安全和威胁研究公司已经发布了大量关于“灰熊草原”(GRIZZLY STEPPE)攻击活动的分析报告。
在此,为了更好地了解APT28和APT29的网络攻击行为,DHS鼓励广大网络安全专家、威胁分析研究者或普通民众积极获取这些公开报告,从中发现攻击的TTPs属性,进一步防御“灰熊草原”攻击活动。
攻击程序武器化据报道,2014年攻击者首先利用了名为OnionDuke的恶意软件开始了网络攻击行为,从这个阶段开始,一些安全分析研究者就有所察觉。
“灰熊草原”攻击程序的武器化方法主要为:对某些网站进行代码注入实行“水坑攻击”制作包含恶意宏程序的Office文件制作包含恶意flash代码的富文本格式(RTF)文档恶意文件传播主要使用钓鱼邮件附件或链接进行恶意文件传播
, efax #100345(随机序列数组合)PDF, PFD, Secure PDF时事主题,如“欧洲议会声明….”等Microsoft Outlook Web Access(OWA)的钓鱼登录页面网络威胁事件会议邀请入侵合法站点设置包含恶意程序的软件下载在种子站点提供被感染的盗版软件下载利用