近日，卡巴斯基分析了受 Energetic Bear APT 损害的服务，并在某种程度上确定该组织是为了利益或接受其外部客户的订单而运作的。卡巴斯基实验室 ICS CERT 报告中提供了有关已识别的服务器的信息，这些服务器已被群体感染和使用。此外，该报告还包括对 2016 年和 2017 年初 Energetic Bear 组织袭击几家网络服务器的分析结果。

至 2010 年以来， Energetic Bear  一直活跃。该组织倾向于攻击不同的公司，主要关注能源和工业部门。根据统计，Energetic Bear 袭击的公司在全球范围内集中度比较明显，一般来说主要分布在欧洲和美国。在 2016-2017 年，土耳其公司遭受 Energetic Bear 袭击的数量也大幅增加。

Energetic Bear 组织的主要策略包括发送带有恶意文件的钓鱼邮件以及感染各种服务器。Energetic Bear 使用一些受感染的服务器作为辅助用途 -— 比如托管工具和日志。其他一些服务器则被故意受到感染，以便在水坑攻击中使用它们以达到该组织的主要目标。

受损服务器的分析结果和攻击者在这些服务器上的活动如下：

–   除极少数情况外，该组织可以使用公共可用的实用程序进行攻击，使攻击归因的任务无需任何额外的群组“标记”就变得非常困难；

–  潜在地，当攻击者想要建立一个立足点以发展针对目标设施的进一步攻击时，互联网上任何易受攻击的服务器都会引起攻击者的兴趣。

–  在观察到的大多数情况下，该组织通过执行与搜索漏洞有关的任务来获得各种主机持久性以及窃取认证数据。

–  受害者的多样性可能表明攻击者利益的多样性。

–  在某种程度上可以肯定地说，该组织为利益服务或从其外部的客户处获得订单，通过执行初始数据收集、窃取认证数据获得适合攻击资源的持久性发展。

值得注意的是， Energetic Bear 针对美国组织的近期活动在 US-CERT 咨询中进行了讨论，该咨询将其与俄罗斯政府联系起来。

完整分析报告:

《Energetic Bear/Crouching Yeti: attacks on servers》

(责任编辑：冬天的宇)