波兰军事反情报局及其计算机应急响应小组已将 APT29 国家支持的黑客与针对北约和欧盟国家的广泛攻击联系起来,这些黑客是俄罗斯政府外国情报局 (SVR) 的一部分。
作为此次活动的一部分,网络间谍组织(也被追踪为 Cozy Bear 和 Nobelium)旨在从外交实体和外交部获取信息。
“军事反情报局和 CERT.PL 建议所有可能与参与者感兴趣的实体实施旨在提高IT系统安全性和增加攻击检测的机制。”
攻击者使用伪装成欧洲国家大使馆的鱼叉式钓鱼邮件将外交人员作为目标,这些电子邮件带有指向恶意网站或附件的链接,旨在通过 ISO、IMG 和 ZIP 文件部署恶意软件。
由 APT29 控制的网站通过HTML *私走**使用 EnvyScout dropper 恶意载荷感染受害者,这有助于部署名为SNOWYAMBER和QUARTERRIG的*载下**器,旨在提供额外的恶意软件,以及名为HALFRIG的 CobaltStrike Beacon stager 。
SNOWYAMBER 和 QUARTERRIG 用于侦察,以帮助攻击者评估每个目标的相关性,并确定他们是否破坏了用于恶意软件分析的蜜罐或虚拟机。
“如果受感染的工作站通过了手动验证,则上述*载下**程序将用于交付和启动商业工具 COBALT STRIKE 或 BRUTE RATEL。”今天发布的一份单独的恶意软件分析报告中写道。
另一方面,HALFRIG 充当加载程序——它包含 COBALT STRIKE 有效载荷并自动运行。
攻击流程(CERT Polska)
APT29是俄罗斯外国情报局 (SVR) 黑客部门,该部门也与SolarWinds 供应链攻击有关,SolarWinds 供应链攻击导致 3 年前多个美国联邦机构遭到入侵。
从那时起,该黑客组织使用多年来一直未被发现的隐蔽恶意软件侵入其他组织的网络,其中包括一种被追踪为 TrailBlazer 的新恶意软件和 GoldMax Linux 后门的变体。
Unit 42 还观察到 Brute Ratel 对抗性攻击模拟工具被用于涉嫌与俄罗斯 SVR 网络间谍有关的攻击。
最近,微软报告称,APT29 黑客正在使用能够劫持 Active Directory 联合身份验证服务 (ADFS) 的新型恶意软件,以在 Windows 系统中以任何人身份登录。
他们还以北约国家的 Microsoft 365 帐户为目标,试图访问外交政策信息,并策划了一波针对欧洲各国政府、大使馆和高级官员的网络钓鱼活动。
参考链接:https://www.bleepingcomputer.com/news/security/russian-hackers-linked-to-widespread-attacks-targeting-nato-and-eu/