与俄罗斯有关的APT29在最近的攻击中滥用欧盟信息交换系统

与俄罗斯有联系的APT29组织滥用欧洲国家使用的合法信息交换系统来攻击政府实体。

与俄罗斯有关的APT29(又名SVR组、Cozy Bear、Nobelium和The Dukes)被发现滥用欧洲国家在针对政府的攻击中使用的合法信息交换系统。

3 月初,黑莓研究人员发现了一项针对欧盟国家的新网络间谍活动。黑客针对外交实体和系统发送有关该地区政治的敏感信息,帮助乌克兰公民逃离该国,并向乌克兰政府提供帮助。

攻击链从一封包含武器化文档的鱼叉式网络钓鱼电子邮件开始,其中包含一个指向HTML文件下载的链接。

HTLM文件托管在一个合法的在线图书馆网站上,该网站可能在2023年1月底至2023年2月初之间的某个时间被威胁行为者破坏。

“其中一个诱饵吸引了那些想了解波兰大使 2023 年日程安排的人。它与大使马雷克·马吉罗夫斯基 (Marek Magierowski) 最近对美国的访问重叠;具体来说,他在2月2日的演讲中讨论了位于华盛顿特区的美国天主教大学哥伦布法学院的乌克兰战争,也被称为天主教法学院。”

APT29组织还滥用了多个合法系统,包括LegisWrite和eTrustEx,欧盟国家使用这些系统以安全的方式交换信息和数据。

APT29

LegisWrite是欧盟各国政府使用的编辑程序,这意味着威胁行为者使用它进行恶意引诱,专门针对欧盟内部的国家组织。

攻击中使用的恶意HTML文件是NOBELIUM植入程序的一个版本,被跟踪为ROOTSAW(又名EnvyScout)。EnvyScout使用HTML 走私技术将 IMG 或 ISO 文件传送到受害者的系统。

为了保持持久性,在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\DsDiBacks”下创建了一个新的注册表项。

BugSplatRc64.dll文件允许网络间谍收集和泄露有关受感染系统的信息。

民族国家行为者滥用API用于C2通信的笔记应用程序概念,这是一种可以避免检测的选择。

“NOBELIUM积极收集有关在俄乌战争中支持乌克兰的国家的情报信息。波兰大使访问美国与袭击中使用的诱饵之间的重叠提供了证据,表明威胁行为者仔细跟踪地缘政治事件并利用它们来增加成功感染的可能性。” 总结报告。“此外,我们对武器化 LNK 文件的初步分析表明,该活动背后的威胁行为者使用反取证技术清除个人元数据,以删除与其操作系统相关的信息。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4975.html

标签