APT29

APT29 Paglalarawan

Ang APT29 ( Advanced Persistent Threat ) ay isang pangkat ng pag-hack na nagmula sa Russia. Gumaganap din ang hacking group na ito sa ilalim ng mga alias na Cozy Bear, Cozy Duke, the Dukes, at Office Monkeys. Sinusubaybayan ng cybergang ang pinagmulan nito sa 2008 MiniDuke malware, at patuloy nilang pinapabuti at ina-update ang kanilang arsenal sa pag-hack pati na rin ang mga diskarte at imprastraktura ng pag-atake. Ang APT29 ay madalas na humahabol sa mga target na may mataas na halaga sa buong mundo. Ang pinakabagong mga pagsisikap ng APT29 ay nakatuon sa pagnanakaw ng data ng bakuna sa COVID-19 mula sa mga institusyong medikal sa buong mundo.

Matindi ang hinala ng ilang mananaliksik sa cybersecurity na ang APT29 ay may malapit na kaugnayan sa mga serbisyo ng paniktik ng Russia at sa Russian Federal Security Service (FSB), sa partikular.


Ngayong Linggo Sa Malware Episode 19 Bahagi 1: Tina-target ng mga Russian APT29 Hacker ang mga Coronavirus/COVID-19 Vaccine Research Firms

Tool Kit at Mga Kapansin-pansing Pag-atake

Anuman ang napiling target, palaging nagsasagawa ang APT29 ng dalawang yugto ng pag-atake na nagtatampok ng backdoor Trojan at malware dropper. Ang una ay naglalayon na kunin ang personal na data at ipadala ito pabalik sa isang remote na Command-and-Control server (C&C), habang ang huli ang gumagawa ng aktwal na pinsala, depende sa target na organisasyon. Ang mga toolkit ay napapailalim sa mga regular na pag-update at pag-aayos para sa pinahusay na pag-iwas sa AV.
Ang APT29 ay isang medyo sikat na grupo ng pag-hack dahil madalas silang nagiging headline dahil sa kanilang mga pag-atake na nagta-target sa mga high-profile na organisasyon sa buong mundo - mga ahensya ng gobyerno na organisasyong militar, mga diplomatikong misyon, mga negosyo sa telekomunikasyon, at iba't ibang komersyal na entity. Narito ang ilan sa mga pinakakilalang pag-atake na diumano'y sangkot sa APT29:

  • Ang 2014 spam email campaign na naglalayong magtanim ng CozyDuke at Miniduke malware sa mga research institute at state agencies sa US
  • Ang 2015 Cozy Bear spear-phishing na pag-atake na nagpalumpong sa email system ng Pentagon nang ilang sandali.
  • Ang pag-atake ng Cozy Bear laban sa Democratic National Committee bago ang 2016 Presidential Elections sa United States, gayundin ang serye ng mga pagsalakay laban sa mga NGO na nakabase sa US at mga think tank.
  • Ang Enero 2017 Norwegian Government spearphishing attack na nakaapekto sa Labor Party ng bansa, Ministry of Defense, at Ministry of Foreign Affairs.
  • Ang 2019 Operation Ghost infection wave na nagpakilala sa bagong ginawang Polyglot Duke, RegDuke, at mga pamilya ng malware ng FatDuke.

Lumalakas Pa rin Makalipas ang Labindalawang Taon

Patuloy na hinahabol ng APT29 ang mga high-profile na target sa 2020. May mga ulat na hinabol ng grupong ito sa pag-hack ang iba't ibang institusyong medikal na pananaliksik na matatagpuan sa United States, Canada, at United Kingdom. Lumilitaw na ang APT29 ay partikular na nagta-target sa mga institusyong medikal, na direktang naka-link sa pananaliksik sa COVID-19, kabilang ang pagbuo ng isang potensyal na bakuna pati na rin ang mga epektibong paggamot. Ini-scan ng APT29 ang mga saklaw ng IP, na kabilang sa mga institusyong medikal na pinag-uusapan at pagkatapos ay sinusuri kung mayroong anumang mga kahinaan, na maaari nitong pagsamantalahan. Sa sandaling matagumpay na nalabag ng APT29 ang isang naka-target na network, ang pangkat ng pag-hack ay nagde-deploy ng WellMess malware o ang banta ng WellMail.

Ang mga naka-target na institusyong medikal ay hindi nagbigay ng maraming impormasyon tungkol sa kaso dahil malamang na kinabibilangan ito ng classified data. Gayunpaman, ligtas na ipagpalagay na ang APT29 ay naghahanap ng classified na impormasyon at mga dokumento patungkol sa pananaliksik sa COVID-19. Ang mga tool sa pag-hack na ginagamit ng APT29 ay may kakayahang makakuha ng data mula sa nakompromisong host, pati na rin ang pagtatanim ng mga karagdagang banta sa nahawaang sistema.

Mag-ingat sa Mga Bagong APT29-Related Scams

Maraming cybercriminal ang gumagamit ng COVID-19 para magpalaganap ng mababang antas ng mga scam at iba't ibang banta. Gayunpaman, ang kaso ng APT29 ay mas kawili-wili. Maaaring isipin ng isang tao na ito ay isang operasyon ng reconnaissance ng Russia na maaaring suportahan o hindi ng Kremlin.

Ang mga institusyong medikal ay kailangang maging maingat sa mga pag-atake sa cyber dahil sila ay nasa mata ng bagyo sa buong 2020. Mahalagang panatilihing napapanahon ang lahat ng iyong software, tiyaking gumagamit ka ng napaka-secure na mga kredensyal sa pag-log in, ilapat ang lahat ng mga patch sa iyong firmware, at huwag kalimutang kumuha ng isang kagalang-galang, modernong anti-virus software suite.