APT29

APT29 ( Advanced Persistent Threat ) - хакерская группа из России. Эта хакерская группа также действует под псевдонимами Cozy Bear, Cozy Duke, the Dukes и Office Monkeys. Кибергруппа ведет свое происхождение от вредоносного ПО MiniDuke 2008 года, и они постоянно совершенствуют и обновляют свой хакерский арсенал, а также стратегии и инфраструктуру атак. APT29 часто преследует важные цели по всему миру. Последние усилия APT29 были направлены на кражу данных о вакцине против COVID-19 из медицинских учреждений по всему миру.

Некоторые исследователи кибербезопасности сильно подозревают APT29 в тесных связях с российскими спецслужбами и, в частности, с Федеральной службой безопасности (ФСБ) России.


На этой неделе в вредоносном ПО Эпизод 19, часть 1: Российские хакеры APT29 нацелены на компании, занимающиеся исследованием вакцин против коронавируса / COVID-19

Набор инструментов и известные атаки

Независимо от выбранной цели APT29 всегда проводит двухэтапные атаки с использованием трояна-бэкдора и дроппера вредоносного ПО. Первый нацелен на получение личных данных и отправку их обратно на удаленный командно-контрольный сервер (C&C), а второй наносит реальный ущерб, в зависимости от целевой организации. Наборы инструментов регулярно обновляются и дорабатываются для улучшенного обхода антивирусных программ.
APT29 - довольно популярная хакерская группа, поскольку они часто попадают в заголовки газет из-за своих атак, нацеленных на известные организации по всему миру - правительственные учреждения, военные организации, дипломатические миссии, телекоммуникационные компании и различные коммерческие организации. Вот некоторые из наиболее заметных атак, в которых предположительно участвовал APT29:

  • Кампании по рассылке спама 2014 года, направленные на внедрение вредоносного ПО CozyDuke и Miniduke в исследовательские институты и государственные учреждения США.
  • В 2015 году была проведена целенаправленная фишинговая атака Cozy Bear, которая на некоторое время нанесла ущерб почтовой системе Пентагона.
  • Атака «Уютного медведя» на Национальный комитет Демократической партии накануне президентских выборов 2016 года в США, а также серия рейдов против базирующихся в США НПО и аналитических центров.
  • В январе 2017 года правительство Норвегии подверглось нападению с применением целевого фишинга, в результате которого пострадали Лейбористская партия страны, Министерство обороны и Министерство иностранных дел.
  • Волна заражения Operation Ghost в 2019 году представила недавно созданные семейства вредоносных программ Polyglot Duke, RegDuke и FatDuke.

По-прежнему сильна двенадцать лет спустя

APT29 продолжает преследовать громкие цели в 2020 году. Есть сообщения, что эта хакерская группа преследовала различные медицинские исследовательские институты, расположенные в Соединенных Штатах, Канаде и Великобритании. Похоже, что APT29 специально нацелен на медицинские учреждения, которые напрямую связаны с исследованиями COVID-19, включая разработку потенциальной вакцины, а также эффективных методов лечения. APT29 сканирует диапазоны IP-адресов, принадлежащих рассматриваемым медицинским учреждениям, а затем проверяет наличие уязвимостей, которые можно использовать. После успешного проникновения APT29 в целевую сеть хакерская группа развертывает вредоносное ПО WellMess или угрозу WellMail.

Целевые медицинские учреждения не предоставили много информации об этом случае, поскольку он, вероятно, связан с секретными данными. Однако можно с уверенностью предположить, что APT29 ищет секретную информацию и документы в отношении исследования COVID-19. Инструменты взлома, которые использует APT29, способны получать данные со скомпрометированного хоста, а также создавать дополнительные угрозы для зараженной системы.

Остерегайтесь новых мошенников, связанных с APT29

Многие киберпреступники используют COVID-19 для распространения мошенничества низкого уровня и различных угроз. Однако случай APT29 гораздо интереснее. Можно предположить, что это российская разведывательная операция, которую Кремль может поддержать, а может и нет.

Медицинские учреждения должны очень осторожно относиться к кибератакам, поскольку они были в эпицентре бури в течение 2020 года. Важно поддерживать все ваше программное обеспечение в актуальном состоянии, убедитесь, что вы используете очень безопасные учетные данные для входа, примените все исправления для прошивку, и не забудьте приобрести современный антивирусный пакет с хорошей репутацией.

В тренде

Наиболее просматриваемые

Загрузка...