APT29

APT29

APT29 ( Mối đe dọa liên tục nâng cao ) là một nhóm hack có nguồn gốc từ Nga. Nhóm hack này cũng hoạt động dưới các bí danh Cozy Bear, Cosy Duke, Công tước và Office Monkeys. Cybergang bắt nguồn từ phần mềm độc hại MiniDuke năm 2008 và họ đã liên tục cải tiến và cập nhật kho vũ khí hack cũng như các chiến lược và cơ sở hạ tầng tấn công. APT29 thường theo đuổi các mục tiêu có giá trị cao trên toàn thế giới. Những nỗ lực gần đây nhất của APT29 tập trung vào việc đánh cắp dữ liệu vắc xin COVID-19 từ các tổ chức y tế trên toàn cầu.

Một số nhà nghiên cứu an ninh mạng nghi ngờ APT29 có quan hệ mật thiết với các cơ quan tình báo Nga và đặc biệt là Cơ quan An ninh Liên bang Nga (FSB).


Tuần này trong phần mềm độc hại Tập 19 Phần 1: Tin tặc APT29 của Nga nhắm mục tiêu vào Coronavirus / COVID-19 Các công ty nghiên cứu vắc xin

Bộ công cụ và các cuộc tấn công đáng chú ý

Bất kể mục tiêu đã chọn là gì, APT29 luôn tiến hành các cuộc tấn công hai giai đoạn với một Trojan cửa sau và một phần mềm nhỏ giọt phần mềm độc hại. Mục đích đầu tiên là truy xuất dữ liệu cá nhân và gửi nó trở lại máy chủ Chỉ huy và Kiểm soát từ xa (C&C), trong khi máy chủ thứ hai gây ra thiệt hại thực tế, tùy thuộc vào tổ chức được nhắm mục tiêu. Các bộ công cụ này có thể được cập nhật và điều chỉnh thường xuyên để tăng cường khả năng tránh AV.
APT29 là một nhóm hack khá phổ biến vì chúng thường gây chú ý do các cuộc tấn công nhắm vào các tổ chức nổi tiếng trên toàn thế giới - các cơ quan chính phủ, tổ chức quân sự, cơ quan đại diện ngoại giao, doanh nghiệp viễn thông và các tổ chức thương mại khác nhau. Dưới đây là một số cuộc tấn công đáng chú ý nhất mà APT29 được cho là có liên quan đến:

  • Các chiến dịch email spam năm 2014 nhằm mục đích đưa phần mềm độc hại CozyDuke và Miniduke vào các viện nghiên cứu và cơ quan nhà nước ở Hoa Kỳ
  • Cuộc tấn công lừa đảo mang thương hiệu Cozy Bear năm 2015 đã làm tê liệt hệ thống email của Lầu Năm Góc trong một thời gian.
  • Cuộc tấn công của Cozy Bear chống lại Ủy ban Quốc gia Đảng Dân chủ trước cuộc Bầu cử Tổng thống năm 2016 ở Hoa Kỳ, cũng như một loạt các cuộc tấn công nhằm vào các tổ chức tư vấn phi chính phủ có trụ sở tại Hoa Kỳ.
  • Cuộc tấn công bằng mũi nhọn của Chính phủ Na Uy vào tháng 1 năm 2017 đã ảnh hưởng đến Đảng Lao động, Bộ Quốc phòng và Bộ Ngoại giao của nước này.
  • Làn sóng lây nhiễm Operation Ghost năm 2019 đã giới thiệu các họ phần mềm độc hại Polyglot Duke, RegDuke và FatDuke mới được tạo ra.

Vẫn phát triển mạnh mẽ 12 năm sau

APT29 tiếp tục truy lùng các mục tiêu nổi tiếng vào năm 2020. Có báo cáo rằng nhóm hack này đã truy lùng các cơ sở nghiên cứu y tế khác nhau ở Hoa Kỳ, Canada và Vương quốc Anh. Có vẻ như APT29 đang nhắm mục tiêu cụ thể đến các tổ chức y tế, có liên quan trực tiếp đến nghiên cứu COVID-19, bao gồm cả việc phát triển một loại vắc-xin tiềm năng cũng như các phương pháp điều trị hiệu quả. APT29 quét các dải IP, thuộc về các tổ chức y tế được đề cập và sau đó kiểm tra xem có bất kỳ lỗ hổng nào mà nó có thể khai thác hay không. Sau khi APT29 xâm phạm thành công mạng được nhắm mục tiêu, nhóm tấn công sẽ triển khai phần mềm độc hại WellMess hoặc mối đe dọa WellMail.

Các tổ chức y tế được nhắm mục tiêu đã không cung cấp nhiều thông tin liên quan đến vụ việc vì nó có thể liên quan đến dữ liệu đã được phân loại. Tuy nhiên, có thể an toàn khi cho rằng APT29 đang tìm kiếm thông tin và tài liệu đã được phân loại liên quan đến nghiên cứu COVID-19. Các công cụ hack mà APT29 sử dụng có khả năng lấy dữ liệu từ máy chủ bị xâm nhập, cũng như tạo ra các mối đe dọa bổ sung trên hệ thống bị nhiễm.

Cẩn thận với các trò lừa đảo mới liên quan đến APT29

Nhiều tội phạm mạng đang sử dụng COVID-19 để tuyên truyền các trò gian lận cấp thấp và các mối đe dọa khác nhau. Tuy nhiên, trường hợp của APT29 thú vị hơn nhiều. Người ta có thể suy đoán rằng đó là một hoạt động do thám của Nga có thể có hoặc không có sự hậu thuẫn của Điện Kremlin.

Các tổ chức y tế cần hết sức cảnh giác với các cuộc tấn công mạng vì chúng đã ở trong tầm mắt của cơn bão trong suốt năm 2020. Điều quan trọng là phải cập nhật tất cả phần mềm của bạn, đảm bảo bạn sử dụng thông tin đăng nhập rất an toàn, áp dụng tất cả các bản vá cho chương trình cơ sở của bạn, và đừng quên tải về một bộ phần mềm chống vi-rút hiện đại, có uy tín.

Loading...