APT29

APT29

APT29 ( Advanced Persistent Threat ) is een hackgroep die afkomstig is uit Rusland. Deze hackgroep werkt ook onder de aliassen Cosy Bear, Cosy Duke, the Dukes en Office Monkeys. De cyberbende vindt zijn oorsprong in de MiniDuke-malware van 2008 en ze hebben hun hackarsenaal, aanvalsstrategieën en infrastructuur voortdurend verbeterd en bijgewerkt. APT29 gaat vaak achter hoogwaardige doelen over de hele wereld aan. De meest recente inspanningen van APT29 waren gericht op het stelen van COVID-19-vaccingegevens van medische instellingen over de hele wereld.

Sommige cybersecurity-onderzoekers vermoeden sterk dat APT29 nauwe banden heeft met Russische inlichtingendiensten en met name de Russische Federale Veiligheidsdienst (FSB).


Deze week in malware, aflevering 19, deel 1: Russische APT29-hackers richten zich op onderzoeksbureaus voor coronavirus/COVID-19 vaccins

Toolkit en opmerkelijke aanvallen

Ongeacht het gekozen doelwit voert APT29 altijd tweetrapsaanvallen uit met een backdoor-trojan en een malware-dropper. De eerste heeft tot doel persoonlijke gegevens op te halen en terug te sturen naar een externe Command-and-Control-server (C&C), terwijl de laatste de daadwerkelijke schade aanricht, afhankelijk van de beoogde organisatie. De toolkits zijn onderhevig aan regelmatige updates en tweaks voor verbeterde AV-ontduiking.
APT29 is een vrij populaire hackgroep omdat ze vaak de krantenkoppen halen vanwege hun aanvallen die zich richten op spraakmakende organisaties over de hele wereld - overheidsinstanties, militaire organisaties, diplomatieke missies, telecommunicatiebedrijven en verschillende commerciële entiteiten. Hier zijn enkele van de meest opvallende aanvallen waarbij APT29 naar verluidt betrokken is geweest:

  • De spam-e-mailcampagnes van 2014 die erop gericht waren om CozyDuke- en Miniduke-malware te planten in onderzoeksinstituten en overheidsinstanties in de VS
  • De 2015 Cozy Bear spear-phishing-aanval die het e-mailsysteem van het Pentagon een tijdje verlamde.
  • De Cosy Bear-aanval op het Democratic National Committee voorafgaand aan de presidentsverkiezingen van 2016 in de Verenigde Staten, evenals de reeks invallen tegen in de VS gevestigde NGO's en denktanks.
  • De spearphishing-aanval van de Noorse regering in januari 2017, waarbij de Labour Party, het ministerie van Defensie en het ministerie van Buitenlandse Zaken werden getroffen.
  • De Operation Ghost-infectiegolf van 2019, die de nieuw ontworpen Polyglot Duke-, RegDuke- en FatDuke-malwarefamilies introduceerde.

Twaalf jaar later nog steeds sterk

APT29 blijft in 2020 spraakmakende doelen nastreven. Er zijn berichten dat deze hackgroep achter verschillende medische onderzoeksinstellingen in de Verenigde Staten, Canada en het Verenigd Koninkrijk is aangegaan. Het lijkt erop dat APT29 zich specifiek richt op medische instellingen die rechtstreeks verband houden met COVID-19-onderzoek, waaronder de ontwikkeling van een potentieel vaccin en effectieve behandelingen. APT29 scant IP-bereiken die behoren tot de betreffende medische instellingen en controleert vervolgens of er kwetsbaarheden zijn die het kan misbruiken. Zodra APT29 met succes een gericht netwerk doorbreekt, zet de hackgroep de WellMess-malware of de WellMail-dreiging in.

De beoogde medische instellingen hebben niet veel informatie over de zaak verstrekt, omdat het waarschijnlijk om geheime gegevens gaat. Het is echter veilig om aan te nemen dat APT29 op zoek is naar geheime informatie en documenten met betrekking tot het COVID-19-onderzoek. De hacktools die APT29 gebruikt, zijn in staat om gegevens van de gecompromitteerde host te verkrijgen en om extra bedreigingen op het geïnfecteerde systeem te plaatsen.

Pas op voor nieuwe APT29-gerelateerde oplichting

Veel cybercriminelen gebruiken de COVID-19 om oplichting op laag niveau en verschillende bedreigingen te verspreiden. Het geval van de APT29 is echter veel interessanter. Men kan speculeren dat het een Russische verkenningsoperatie is die al dan niet wordt gesteund door het Kremlin.

Medische instellingen moeten zeer op hun hoede zijn voor cyberaanvallen, aangezien ze in 2020 in het oog van de storm hebben gestaan. Het is belangrijk om al uw software up-to-date te houden, zorg ervoor dat u zeer veilige inloggegevens gebruikt, pas alle patches toe op uw firmware, en vergeet niet om een gerenommeerde, moderne antivirussoftwaresuite aan te schaffen.

Trending

Bezig met laden...