俄乌冲突下 APT29 黑客组织再度活跃,欧美外交使团遭恶意袭击
2023-8-17 10:5:7 Author: hackernews.cc(查看原文) 阅读量:23 收藏

最新研究表明,黑客对北约国家政府机构进行间谍活动的最新尝试包括与俄罗斯相关的Duke恶意软件的变种。根据荷兰网络安全公司EclecticIQ的一份报告,最近的一次攻击活动利用两个恶意PDF文件针对北约联盟政府的外交部。640

其中一份PDF 提供了Duke的一种变体,该恶意软件与俄罗斯国家资助的APT29网络间谍活动(也称为Nobelium、Cozy Bear和The Dukes)有关。另一个文件可能用于测试或侦察,因为它不包含有效负载,但如果受害者打开电子邮件附件,则会通知黑客。

研究人员表示,这些PDF伪装成德国大使馆的外交邀请,似乎是针对全球外交使团的更广泛活动的一部分。该报告并未直接将德国大使馆的诱饵归因于APT29,但确实指出了其他研究人员在该组织的活动中发现的一些操作细节。

恶意PDF中的电子邮件地址引用了真实的Web域bahamas.gov.bs。在7月中旬的一份报告中,网络安全公司Lab52注意到,黑客利用同一域名冒充挪威大使馆,通过邀请诱饵攻击外交实体。EclecticIQ研究人员“高度确信”冒充德国大使馆的PDF文件很可能是由同一威胁行为者制作的。

自俄乌战争爆发以来,莫斯科在欧洲的网络间谍活动不断升级。距离基辅最近的国家,如波兰、立陶宛和拉脱维亚,受到的影响最大。

APT29以利用合法的网络服务(如Microsoft OneDrive和Notion)进行恶意软件命令和控制(C2)而闻名。据EclecticIQ报道,在最近的这场战役中,攻击者使用了Zulip应用程序进行C2。

Zulip是一款开源聊天应用程序,使用亚马逊网络服务接收和发送聊天消息。黑客利用其API功能规避并将其活动隐藏在合法的网络流量后面。

APT29被认为是由俄罗斯对外情报局指挥的,该局从其他国家收集政治和经济信息。该黑客组织的主要目标是美国和欧洲的政府、政治组织、研究公司以及能源、医疗保健、教育、金融和技术等关键行业。在俄乌战争期间,APT29对乌克兰军方及其政党、外交机构、智库和非营利组织进行了网络攻击。

转自E安全,原文链接:https://mp.weixin.qq.com/s/Nnjkes6JuGbS2aYDs-55kg

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/45189
如有侵权请联系:admin#unsafe.sh