APT29

APT29 ( Advanced Persistent Threat ) คือกลุ่มแฮ็คที่มาจากรัสเซีย กลุ่มแฮ็คนี้ยังทำหน้าที่ภายใต้นามแฝงว่า Cozy Bear, Cozy Duke, the Dukes และ Office Monkeys แก๊งค์ไซเบอร์ติดตามต้นกำเนิดของมัลแวร์ MiniDuke ปี 2008 และพวกเขาได้ทำการปรับปรุงและปรับปรุงคลังอาวุธสำหรับการแฮ็กอย่างต่อเนื่องตลอดจนกลยุทธ์การโจมตีและโครงสร้างพื้นฐาน APT29 มักจะไล่ตามเป้าหมายที่มีมูลค่าสูงไปทั่วโลก ความพยายามล่าสุดของ APT29 มุ่งเน้นไปที่การขโมยข้อมูลวัคซีนโควิด-19 จากสถาบันทางการแพทย์ทั่วโลก

นักวิจัยด้านความปลอดภัยทางไซเบอร์บางคนสงสัยอย่างยิ่งว่า APT29 มีความสัมพันธ์ใกล้ชิดกับหน่วยข่าวกรองของรัสเซียและ Russian Federal Security Service (FSB) โดยเฉพาะ

สัปดาห์นี้ในมัลแวร์ตอนที่ 19 ส่วนที่ 1: แฮกเกอร์ APT29 ของรัสเซียตั้งเป้าไปที่บริษัทวิจัยวัคซีน Coronavirus/COVID-19

ชุดเครื่องมือและการโจมตีที่โดดเด่น

โดยไม่คำนึงถึงเป้าหมายที่เลือก APT29 จะทำการโจมตีแบบสองขั้นตอนเสมอซึ่งมีโทรจันลับๆ และมัลแวร์ดรอปเพอร์ อดีตมีจุดมุ่งหมายเพื่อดึงข้อมูลส่วนบุคคลและส่งกลับไปยังเซิร์ฟเวอร์คำสั่งและการควบคุมระยะไกล (C&C) ในขณะที่หลังทำความเสียหายจริงขึ้นอยู่กับองค์กรเป้าหมาย ชุดเครื่องมืออาจมีการอัปเดตและปรับแต่งเป็นประจำเพื่อการหลีกเลี่ยง AV ที่ได้รับการปรับปรุง
APT29 เป็นกลุ่มแฮ็คที่ค่อนข้างเป็นที่นิยม เนื่องจากพวกเขามักจะพาดหัวข่าวเนื่องจากการโจมตีที่กำหนดเป้าหมายไปยังองค์กรที่มีชื่อเสียงทั่วโลก – หน่วยงานรัฐบาล องค์กรทางทหาร ภารกิจทางการฑูต ธุรกิจโทรคมนาคม และหน่วยงานทางการค้าต่างๆ ต่อไปนี้คือการโจมตีที่โดดเด่นที่สุดบางส่วนที่ APT29 กล่าวหาว่ามีส่วนเกี่ยวข้องกับ:

• แคมเปญอีเมลขยะในปี 2014 ซึ่งมีเป้าหมายเพื่อวางมัลแวร์ CozyDuke และ Miniduke ในสถาบันวิจัยและหน่วยงานของรัฐในสหรัฐอเมริกา
• การโจมตีด้วยหอกฟิชชิ่งของ Cozy Bear ปี 2015 ที่ทำให้ระบบอีเมลของเพนตากอนพิการไปชั่วขณะหนึ่ง
• หมีโคซี่โจมตีคณะกรรมการแห่งชาติประชาธิปไตยก่อนการเลือกตั้งประธานาธิบดีปี 2559 ในสหรัฐอเมริกา เช่นเดียวกับการบุกโจมตีองค์กรพัฒนาเอกชนที่มีฐานอยู่ในสหรัฐฯ และกลุ่มนักคิด
• การโจมตีแบบ spearphishing ของรัฐบาลนอร์เวย์ในเดือนมกราคม 2017 ซึ่งส่งผลกระทบต่อพรรคแรงงานของประเทศ กระทรวงกลาโหม และกระทรวงการต่างประเทศ
• คลื่นการติดเชื้อ 2019 Operation Ghost ซึ่งแนะนำตระกูลมัลแวร์ Polyglot Duke, RegDuke และ FatDuke ที่สร้างขึ้นใหม่

ยังคงแข็งแกร่งในอีกสิบสองปีต่อมา

APT29 ยังคงเดินหน้าตามเป้าหมายระดับสูงในปี 2020 มีรายงานว่ากลุ่มแฮ็กเกอร์กลุ่มนี้ตามล่าสถาบันวิจัยทางการแพทย์หลายแห่งที่ตั้งอยู่ในสหรัฐอเมริกา แคนาดา และสหราชอาณาจักร ดูเหมือนว่า APT29 จะกำหนดเป้าหมายไปที่สถาบันทางการแพทย์โดยเฉพาะ ซึ่งเชื่อมโยงโดยตรงกับการวิจัยเกี่ยวกับโควิด-19 รวมถึงการพัฒนาวัคซีนที่มีศักยภาพ ตลอดจนการรักษาที่มีประสิทธิภาพ APT29 จะสแกนช่วง IP ซึ่งเป็นของสถาบันทางการแพทย์ที่เป็นปัญหา จากนั้นตรวจสอบว่ามีช่องโหว่ใดบ้างที่สามารถใช้ประโยชน์ได้ เมื่อ APT29 เจาะเครือข่ายเป้าหมายได้สำเร็จ กลุ่มแฮ็กเกอร์จะใช้มัลแวร์ WellMess หรือภัยคุกคามของ WellMail

สถาบันทางการแพทย์ที่เป็นเป้าหมายไม่ได้ให้ข้อมูลจำนวนมากเกี่ยวกับคดีนี้ เนื่องจากอาจเกี่ยวข้องกับข้อมูลที่เป็นความลับ อย่างไรก็ตาม ถือว่าปลอดภัยหาก APT29 กำลังมองหาข้อมูลและเอกสารที่เป็นความลับเกี่ยวกับการวิจัยเกี่ยวกับโควิด-19 เครื่องมือแฮ็คที่ APT29 ใช้นั้นสามารถรับข้อมูลจากโฮสต์ที่ถูกบุกรุกได้ เช่นเดียวกับการวางภัยคุกคามเพิ่มเติมบนระบบที่ติดไวรัส

ระวังการหลอกลวงที่เกี่ยวข้องกับ APT29 ใหม่

อาชญากรไซเบอร์จำนวนมากใช้ COVID-19 เพื่อเผยแพร่การหลอกลวงระดับต่ำและภัยคุกคามต่างๆ อย่างไรก็ตาม กรณีของ APT29 นั้นน่าสนใจกว่ามาก เราสามารถคาดเดาได้ว่าเป็นปฏิบัติการลาดตระเวนของรัสเซียที่เครมลินอาจสนับสนุนหรือไม่ก็ได้

สถาบันทางการแพทย์ต้องระวังการโจมตีทางไซเบอร์ให้มากที่สุดเท่าที่พวกเขาจะได้รับในสายตาของพายุตลอดปี 2020 สิ่งสำคัญคือต้องให้ซอฟต์แวร์ทั้งหมดของคุณทันสมัยอยู่เสมอ ตรวจสอบให้แน่ใจว่าคุณใช้ข้อมูลรับรองการเข้าสู่ระบบที่ปลอดภัยมาก ใช้แพตช์ทั้งหมดกับ เฟิร์มแวร์ของคุณ และอย่าลืมรับชุดซอฟต์แวร์ป้องกันไวรัสที่ทันสมัยและมีชื่อเสียง