首页 > 安全 > 正文

俄罗斯与APT29相关的目标是外交和政府组织

最后更新 :2022.05.02

俄罗斯链接的APT29(舒适的熊或诺贝尔)发起了针对外交官和政府实体的长矛钓鱼运动。

2022年1月中旬,Mandiant的安全研究人员发现了一场矛态运动,发起了一场矛盾的运动,由俄罗斯链接的APT29'组,针对外交官和政府实体。

俄罗斯链接的APT29组(又名SVR,Cozy Bear和  The Dukes)至少从2014年起就一直活跃,以及  apt28  nbsp; nbsp; nbsp; nbsp; nbsp; nbsp; nbsp; nbsp; nbsp; nbsp; nbsp; nbsp;针对2016年美国总统选举的攻击。

Mandiant发现的最近广告系列中使用的消息是从属于使馆的折衷的电子邮件地址发送的。网络钓鱼电子邮件伪装成与各种使馆有关的行政通知。民族国家演员使用Atlassian Trello,Dropbox和Cloud Services,作为其COM的一部分Mand and Control(C2) 基础设施。

专家在2022年1月至2022年3月之间观察到了多波攻击。
apt29 phishing trello1.png

APT29的大量列表Mandiant怀疑的接收者主要是公开列出大使馆人员的联系点。这些网络钓鱼电子邮件利用了一个恶意的HTML滴管,该滴管跟踪为Rootsaw,它利用了一种已知的技术,将其传递给受害者系统。读取由Mandiant发表的分析。

消息使用  html走私技术将IMG或ISO文件传递给受害者。

ISO图像包含Windows快捷键文件(lnk),当单击时执行了嵌入式恶意DLL文件。打开附件后,Rootsaw HTML滴管将将IMG或ISO文件写入磁盘。图像文件包含Windows快捷方式(LNK)文件和恶意DLL。一个单击LNK文件,恶意DLL是EX环境。为了欺骗受害者单击LNK文件,攻击者使用假图标来欺骗受害者,以为该文件是合法的文档文件。

一旦执行DLL,Beatdrop下载器就会在存储器中传递并执行

Beatdrop是用C编写的下载器,它使用Trello用于C2。执行后,Beatdrop首先将其自己的ntdll.dll副本映射到内存中,以便在自己的过程中执行ShellCode。Beatdrop首先使用RtleCreateuserThread创建了一个悬挂线,该线程指向NtCreateFile。继续报告。此后,Beatdrop将列举用于用户名,计算机名称和IP地址的系统。此信息用于创建受害者ID,Beatdrop用于存储和从其C2中检索受害者有效载荷。一旦创建了受害者ID,Beatdrop将向Trello提出初步请求,以确定当前受害者是否已经受到损害。

专家还报告ED APT29根据钴打击将Beatdrop用新的C ++信标加载程序取代。Beacon实现了后门功能,包括

这些功能包括钥匙扣,屏幕截图,收获帐户凭据,剥落数据,端口扫描等。

曾经在目标网络中获得了ONTPOTH29,APTP229迅速尝试升级特权,在某些情况下,攻击者能够在不到12小时的时间内获得域名,从网络钓鱼攻击中获得了域名。

一旦威胁行为者建立了访问权限,他们就会对主机和活动目录环境进行广泛的侦察。还观察到了APT组进行托管侦察以收获证书。

在此网络钓鱼活动中,使用多个恶意软件系列(包括Beatdrop和Boommic装载机,Rootaw Dropper HTML文件)和Beaccon观察到了APT29组后门。

该报告包括妥协的指标(ioCS),检测规则和斜切ATT& ck ttps。

 ,请投票选举安全事务,作为最佳欧洲网络安全博客作者奖2022奖2022投票给您的获奖者

投票
为我投票给我投票。部分弱者最佳个人(非商业)安全博客和技术WHIZ最佳技术博客以及您选择的其他部分。提名,请访问: https://docs.google.com/forms/forms/dd/e/1faipqlsfxxrximz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/viewform

- END -

看更多