Licenças para vários dispositivos (descontos por volume)
Threat Database Advanced Persistent Threat (APT) APT29

APT29

Por GoldSparrow em Advanced Persistent Threat (APT)
Traduzir Para:
Português

O APT29 (Advanced Persistent Threat) é um grupo de hackers originário da Rússia. Esse grupo de hackers também atua sob os pseudônimos Cozy Bear, Cozy Duke, the Dukes e Office Monkeys. Essa cyber-gangue temas suas origens no malware MiniDuke de 2008, e eles vêm melhorando e atualizando continuamente o seu arsenal de hackers, bem como as estratégias de ataque e infraestrutura. O APT29 freqüentemente busca alvos de alto valor em todo o mundo. Os esforços mais recentes do APT29 se concentraram em roubar dados da vacina COVID-19 de instituições médicas em todo o mundo.

Alguns pesquisadores de segurança cibernética suspeitam fortemente que o APT29 tem laços estreitos com os serviços de inteligência russos e com o Serviço de Segurança Federal da Rússia (FSB), em particular.


Esta Semana em Malware Episódio 19 Parte 1: Os Hackers Russos APT29 Tiveram como Alvo as Firmas que Pesquisam Vacinas

Kit de Ferramentas e Ataques Notáveis

Independentemente do alvo escolhido, o APT29 sempre conduz ataques em dois estágios, apresentando um Trojan backdoor e um dropper de malware. O primeiro visa recuperar dados pessoais e enviá-los de volta para um servidor remoto de Comando e Controle (C&C), enquanto o último faz o dano real, dependendo da organização visada. Os kits de ferramentas estão sujeitos a atualizações regulares e ajustes para evasão AV aprimorada.
O APT29 é um grupo de hackers bastante popular, pois eles costumam estar nas manchetes devido aos seus ataques que visam organizações de alto perfil em todo o mundo - agências governamentais, organizações militares, missões diplomáticas, empresas de telecomunicações e várias entidades comerciais. Aqui estão alguns dos ataques mais notáveis nos quais APT29 supostamente esteve envolvido:

  • As campanhas de e-mail de spam de 2014 com o objetivo de implantar o malware CozyDuke e o Miniduke em institutos de pesquisa e agências estaduais dos EUA
  • O ataque de spear phishing Cozy Bear de 2015 que paralisou o sistema de e-mail do Pentágono por um tempo.
  • O ataque do Cozy Bear contra o Comitê Nacional Democrata antes das Eleições Presidenciais de 2016 nos Estados Unidos, bem como a série de ataques contra ONGs e think tanks com sede nos EUA.
  • O ataque de spearphishing ao governo norueguês de janeiro de 2017 que afetou o Partido Trabalhista do país, o Ministério da Defesa e o Ministério das Relações Exteriores.
  • A onda de infecção do Operation Ghost de 2019 que introduziu as famílias de malware Polyglot Duke, RegDuke e FatDuke recentemente criadas.

O APT29 continua perseguindo alvos de alto perfil em 2020. Há relatos de que esse grupo de hackers perseguiu várias instituições de pesquisa médica localizadas nos Estados Unidos, Canadá e Reino Unido. Parece que o APT29 está direcionado especificamente para instituições médicas, diretamente ligadas à pesquisa COVID-19, incluindo o desenvolvimento de uma potencial vacina, além de tratamentos eficazes. O APT29 varre os intervalos de IP, que pertencem às instituições médicas em questão e, em seguida, verifica se há alguma vulnerabilidade que possa ser explorada. Depois que o APT29 violar com êxito uma rede de destino, o grupo de hackers implementa o malware WellMess ou a ameaça WellMail.

As instituições médicas alvo não forneceram muita informação sobre o caso, porque provavelmente envolve dados classificados. No entanto, é seguro supor que o APT29 esteja procurando informações e documentos classificados em relação à pesquisa do COVID-19. As ferramentas de hacking utilizadas pelo APT29 são capazes de obter dados do host comprometido, além de plantar ameaças adicionais no sistema infectado.

Cuidado com as Novas Táticas Relacionadas ao APT29

Muitos cibercriminosos estão usando o COVID-19 para propagar golpes de baixo nível e várias ameaças. No entanto, o caso do APT29 é muito mais interessante. Pode-se especular que é uma operação de reconhecimento russa que pode ou não ser apoiada pelo Kremlin.

As instituições médicas precisam ter muito cuidado com os ataques cibernéticos, pois estão no olho da tempestade ao longo de 2020. É importante manter todo o seu software atualizado, certifique-se de usar credenciais de login muito seguras, aplicar todos as correções para o seu firmware e não se esqueça de obter um pacote de software anti-vírus moderno e respeitável.

Tendendo

Mais visto

Carregando...