APT29

APT29 ( Advanced Persistent Threat ) er en hackergruppe som kommer fra Russland. Denne hackergruppen opptrer også under aliasene Cozy Bear, Cozy Duke, the Dukes og Office Monkeys. Cybergjengen sporer sin opprinnelse til 2008 MiniDuke malware, og de har kontinuerlig forbedret og oppdatert hacking-arsenalet sitt samt angrepsstrategier og infrastruktur. APT29 går ofte etter mål med høy verdi over hele verden. APT29s siste innsats har fokusert på å stjele COVID-19-vaksinedata fra medisinske institusjoner over hele verden.

Noen cybersikkerhetsforskere mistenker sterkt at APT29 har nære bånd med russiske etterretningstjenester og den russiske føderale sikkerhetstjenesten (FSB), spesielt.

Denne uken i Malware Episode 19 Del 1: Russiske APT29-hackere retter seg mot Coronavirus/COVID-19-vaksineforskningsfirmaer

Verktøysett og bemerkelsesverdige angrep

Uavhengig av det valgte målet, utfører APT29 alltid to-trinnsangrep med en bakdør-trojaner og en malware-dropper. Førstnevnte har som mål å hente personopplysninger og sende dem tilbake til en ekstern Command-and-Control-server (C&C), mens sistnevnte gjør den faktiske skaden, avhengig av målorganisasjonen. Verktøysettene er gjenstand for regelmessige oppdateringer og justeringer for forbedret AV-unnvikelse.
APT29 er en ganske populær hackergruppe ettersom de ofte skaper overskrifter på grunn av angrepene deres som er rettet mot høyprofilerte organisasjoner over hele verden – offentlige etater, militære organisasjoner, diplomatiske oppdrag, telekommunikasjonsbedrifter og ulike kommersielle enheter. Her er noen av de mest bemerkelsesverdige angrepene APT29 angivelig har vært involvert i:

• Spam-e-postkampanjene i 2014 som hadde som mål å plante CozyDuke og Miniduke malware i forskningsinstitutter og statlige byråer i USA
• 2015 Cozy Bear spyd-phishing-angrepet som lammet Pentagons e-postsystem en stund.
• Cozy Bear-angrepet mot den demokratiske nasjonale komiteen før presidentvalget i 2016 i USA, samt rekken av raid mot USA-baserte frivillige organisasjoner og tenketanker.
• Den norske regjeringens spydfiskeangrep i januar 2017 som rammet landets Arbeiderparti, Forsvarsdepartementet og Utenriksdepartementet.
• Operasjon Ghost-infeksjonsbølgen i 2019 som introduserte de nylagde malwarefamiliene Polyglot Duke, RegDuke og FatDuke.

Still Going Strong tolv år senere

APT29 fortsetter å gå etter høyprofilerte mål i 2020. Det er rapporter om at denne hackergruppen har gått etter ulike medisinske forskningsinstitusjoner lokalisert i USA, Canada og Storbritannia. Det ser ut til at APT29 er spesifikt rettet mot medisinske institusjoner, som er direkte knyttet til COVID-19-forskning, inkludert utvikling av en potensiell vaksine samt effektive behandlinger. APT29 skanner IP-områder, som tilhører de aktuelle medisinske institusjonene, og sjekker deretter om det er noen sårbarheter som den kan utnytte. Når APT29 lykkes med å bryte et målrettet nettverk, distribuerer hackergruppen WellMess-malwaren eller WellMail-trusselen.

De målrettede medisinske institusjonene har ikke gitt mye informasjon om saken fordi den sannsynligvis involverer graderte data. Det er imidlertid trygt å anta at APT29 leter etter klassifisert informasjon og dokumenter i forhold til COVID-19-forskningen. Hackingverktøyene som APT29 bruker er i stand til å skaffe data fra den kompromitterte verten, i tillegg til å plante ytterligere trusler på det infiserte systemet.

Pass deg for nye APT29-relaterte svindel

Mange nettkriminelle bruker COVID-19 for å spre svindel på lavt nivå og ulike trusler. Imidlertid er tilfellet med APT29 langt mer interessant. Man kan spekulere i at det er en russisk rekognoseringsaksjon som kanskje støttes av Kreml eller ikke.

Medisinske institusjoner må være veldig på vakt mot cyberangrep siden de har vært i stormens øye gjennom 2020. Det er viktig å holde all programvaren oppdatert, sørge for at du bruker svært sikker påloggingsinformasjon, bruke alle patcher til fastvaren din, og ikke glem å skaffe deg en anerkjent, moderne antivirusprogramvarepakke.