APT28 i „Operation Phantom Net Voxel” - nowe techniki unikania wykrycia w kampaniach cyberszpiegowskich

W ostatnich tygodniach branża bezpieczeństwa IT obserwuje kolejną ewolucję działań jednej z najbardziej znanych rosyjskich grup APT – APT28 (znanej także jako Fancy Bear, Sofacy czy Strontium). Grupa, od lat kojarzona z operacjami cyberszpiegowskimi prowadzonymi na zlecenie rosyjskiego wywiadu wojskowego (GRU), wdrożyła w nowej kampanii nazwanej „Operation Phantom Net Voxel” szereg technik, które utrudniają jej wykrycie i analizę. Szczegóły na temat tego ataku opublikował Zespół Threat Detection & Research (TDR) firmy Sekoia.

Według analityków Sekoia oraz ESET, APT28 rozwija swój arsenał o techniki, które utrudniają detekcję na wielu etapach łańcucha ataku. Najważniejsze elementy nowego podejścia to m.in.:

• Steganografia w plikach PNG - złośliwy kod (shellcode) jest ukrywany w obrazach graficznych, co utrudnia jego wykrycie przez tradycyjne mechanizmy bezpieczeństwa.
• Wykorzystanie legalnych narzędzi i usług chmurowych - komunikacja z serwerami dowodzenia (C2) odbywa się m.in. z użyciem usług w chmurze oraz frameworków open source, np. Covenant.
• Spearphishing w nowych odsłonach - ataki socjotechniczne podszywają się pod polecenia przełożonych lub administracyjne pisma, czasem dostarczane poprzez komunikatory takie jak Signal.
• Ręczne dostosowywanie ataku do środowiska ofiary - operatorzy APT28 nie ograniczają się do w pełni zautomatyzowanych narzędzi; w zależności od reakcji systemów bezpieczeństwa mogą wprowadzać zmiany na żywo.

Rysunek 1. Łańcuch infekcji

Połączenie steganografii, elastycznej komunikacji C2 oraz legalnych narzędzi sprawia, że kampania Phantom Net Voxel jest trudniejsza do wykrycia niż wcześniejsze działania tej grupy.

Dlaczego to ważne dla polskich organizacji?

Choć obecnie celem kampanii są przede wszystkim podmioty z sektora wojskowego w Ukrainie, nie można wykluczyć, że podobne techniki zostaną użyte wobec organizacji w krajach NATO, w tym w Polsce.

Działania rosyjskich grup APT coraz częściej łączą atak cybernetyczny z działaniami hybrydowymi - od dezinformacji, przez sabotaż, po zakłócanie logistyki. W tym kontekście nawet firmy spoza sektora obronnego mogą stać się celem, jeśli pełnią ważną rolę w łańcuchach dostaw, technologii czy usług.

Dzisiejsze kampanie APT, takie jak Phantom Net Voxel, pokazują, że tradycyjna obrona oparta wyłącznie na wskaźnikach kompromitacji (IoC) przestaje być wystarczająca. To jedynie migawka w czasie, a napastnicy działają coraz bardziej elastycznie i wieloetapowo. Skuteczna ochrona wymaga połączenia szybkiego dostępu do informacji wywiadowczych (CTI), detekcji anomalii na poziomie endpointów (EDR/XDR) oraz zautomatyzowanych reakcji w SOC - tak, aby skrócić czas obecności atakującego w środowisku i zminimalizować skutki incydentu.

Dawid Dziobek

product manager Sekoia

Jak się bronić?

W kontekście kampanii takich jak Phantom Net Voxel, eksperci rekomendują:

• Monitorowanie ruchu sieciowego pod kątem nietypowej komunikacji z usługami chmurowymi,
• Analizę plików w środowiskach sandboxowych,
• Wdrażanie zaawansowanych rozwiązań EDR/XDR, które potrafią wykryć anomalie w środowisku IT,
• Szkolenie użytkowników w zakresie rozpoznawania phishingu i spearphishingu.

Więcej szczegółów technicznych dotyczących kampanii można znaleźć w raporcie Sekoia.