APT29
APT29( Advanced Persistent Threat )是一个起源于俄罗斯的黑客组织。该黑客组织还以 Cozy Bear、Cozy Duke、Dukes 和 Office Monkeys 为别名。网络团伙将其起源追溯到 2008 MiniDuke 恶意软件,并且他们一直在不断改进和更新他们的黑客武器库以及攻击策略和基础设施。 APT29 经常追求世界各地的高价值目标。 APT29 最近的工作重点是从全球医疗机构窃取 COVID-19 疫苗数据。
一些网络安全研究人员强烈怀疑 APT29 与俄罗斯情报部门,尤其是俄罗斯联邦安全局 (FSB) 有密切联系。
本周恶意软件第 19 集第 1 部分:俄罗斯 APT29 黑客以冠状病毒/COVID-19 疫苗研究公司为目标
目录
工具包和值得注意的攻击
无论选择哪个目标,APT29 始终会进行两阶段攻击,其中包括后门木马和恶意软件植入程序。前者旨在检索个人数据并将其发送回远程命令与控制服务器 (C&C),而后者会根据目标组织造成实际损害。这些工具包会定期更新和调整以增强 AV 规避。
APT29 是一个相当受欢迎的黑客组织,因为他们的攻击目标是全球知名组织——政府机构军事组织、外交使团、电信企业和各种商业实体,因此经常成为头条新闻。以下是据称 APT29 参与的一些最著名的攻击:
- 2014 年垃圾邮件活动旨在将 CozyDuke 和 Miniduke 恶意软件植入美国的研究机构和国家机构
- 2015 年 Cozy Bear 鱼叉式网络钓鱼攻击使五角大楼的电子邮件系统瘫痪了一段时间。
- Cozy Bear 在 2016 年美国总统选举之前对民主党全国委员会的攻击,以及对美国非政府组织和智囊团的一系列袭击。
- 2017 年 1 月挪威政府的鱼叉式网络钓鱼攻击影响了该国的工党、国防部和外交部。
- 2019 年幽灵行动感染浪潮引入了新制作的 Polyglot Duke、RegDuke 和 FatDuke 恶意软件系列。
十二年后依然强劲
APT29 在 2020 年继续追捕备受瞩目的目标。有报道称,这个黑客组织已经追捕了位于美国、加拿大和英国的各种医学研究机构。 APT29 似乎专门针对与 COVID-19 研究直接相关的医疗机构,包括开发潜在疫苗和有效治疗方法。 APT29 扫描属于相关医疗机构的 IP 范围,然后检查是否存在任何可以利用的漏洞。一旦 APT29 成功入侵目标网络,黑客组织就会部署 WellMess 恶意软件或 WellMail 威胁。
由于案件可能涉及机密数据,目标医疗机构并未提供太多有关此案的信息。但是,可以肯定的是,APT29 正在寻找有关 COVID-19 研究的机密信息和文件。 APT29 使用的黑客工具能够从受感染的主机获取数据,并在受感染的系统上植入额外的威胁。
谨防新的 APT29 相关骗局
许多网络犯罪分子正在使用 COVID-19 来传播低级诈骗和各种威胁。然而,APT29 的情况要有趣得多。可以推测,这是一场俄罗斯的侦察行动,可能得到也可能得不到克里姆林宫的支持。
医疗机构需要非常警惕网络攻击,因为它们在整个 2020 年都处于风暴的中心。重要的是让您的所有软件保持最新状态,确保您使用非常安全的登录凭据,将所有补丁应用到您的固件,并且不要忘记获得信誉良好的现代防病毒软件套件。
