APT29
APT29( Advanced Persistent Threat )是一個起源於俄羅斯的黑客組織。該黑客組織還以 Cozy Bear、Cozy Duke、Dukes 和 Office Monkeys 為別名。網絡團伙將其起源追溯到 2008 MiniDuke 惡意軟件,並且他們一直在不斷改進和更新他們的黑客武器庫以及攻擊策略和基礎設施。 APT29 經常追求世界各地的高價值目標。 APT29 最近的工作重點是從全球醫療機構竊取 COVID-19 疫苗數據。
一些網絡安全研究人員強烈懷疑 APT29 與俄羅斯情報部門,尤其是俄羅斯聯邦安全局 (FSB) 有密切聯繫。
本週惡意軟件第 19 集第 1 部分:俄羅斯 APT29 黑客以冠狀病毒/COVID-19 疫苗研究公司為目標
目錄
工具包和值得注意的攻擊
無論選擇哪個目標,APT29 始終會進行兩階段攻擊,其中包括後門木馬和惡意軟件植入程序。前者旨在檢索個人數據並將其發送回遠程命令與控制服務器 (C&C),而後者會根據目標組織造成實際損害。這些工具包會定期更新和調整以增強 AV 規避。
APT29 是一個相當受歡迎的黑客組織,因為他們的攻擊目標是全球知名組織——政府機構軍事組織、外交使團、電信企業和各種商業實體,因此經常成為頭條新聞。以下是據稱 APT29 參與的一些最著名的攻擊:
- 2014 年垃圾郵件活動旨在將 CozyDuke 和 Miniduke 惡意軟件植入美國的研究機構和國家機構
- 2015 年 Cozy Bear 魚叉式網絡釣魚攻擊使五角大樓的電子郵件系統癱瘓了一段時間。
- Cozy Bear 在 2016 年美國總統選舉之前對民主黨全國委員會的攻擊,以及對美國非政府組織和智囊團的一系列襲擊。
- 2017 年 1 月挪威政府的魚叉式網絡釣魚攻擊影響了該國的工黨、國防部和外交部。
- 2019 年幽靈行動感染浪潮引入了新製作的 Polyglot Duke、RegDuke 和 FatDuke 惡意軟件系列。
十二年後依然強勁
APT29 在 2020 年繼續追捕備受矚目的目標。有報導稱,這個黑客組織已經追捕了位於美國、加拿大和英國的各種醫學研究機構。 APT29 似乎專門針對與 COVID-19 研究直接相關的醫療機構,包括開發潛在疫苗和有效治療方法。 APT29 掃描屬於相關醫療機構的 IP 範圍,然後檢查是否存在任何可以利用的漏洞。一旦 APT29 成功入侵目標網絡,黑客組織就會部署 WellMess 惡意軟件或 WellMail 威脅。
由於案件可能涉及機密數據,目標醫療機構並未提供太多有關此案的信息。但是,可以肯定的是,APT29 正在尋找有關 COVID-19 研究的機密信息和文件。 APT29 使用的黑客工具能夠從受感染的主機獲取數據,並在受感染的系統上植入額外的威脅。
謹防新的 APT29 相關騙局
許多網絡犯罪分子正在使用 COVID-19 來傳播低級詐騙和各種威脅。然而,APT29 的情況要有趣得多。可以推測,這是一場俄羅斯的偵察行動,可能得到也可能得不到克里姆林宮的支持。
醫療機構需要非常警惕網絡攻擊,因為它們在整個 2020 年都處於風暴的中心。重要的是讓您的所有軟件保持最新狀態,確保使用非常安全的登錄憑據,將所有補丁應用到您的固件,並且不要忘記獲得信譽良好的現代防病毒軟件套件。
