APT29针对北约联盟国家外交部

与俄罗斯有关的APT29使用Zulip Chat应用程序对北约结盟国家的外交部进行攻击

EclecticIQ研究人员发现，与俄罗斯有关的威胁行为者正在针对北约结盟国家的外交部开展鱼叉式网络钓鱼活动。

专家们检测到两个伪装成来自德国大使馆的 PDF 文件，其中包含两个外交邀请诱饵。 

其中一份 PDF 提供了Duke恶意软件的变种，该变种与俄罗斯网络间谍组织APT29  （又名 SVR 组织、BlueBravo、  Cozy Bear、  Nobelium、  Midnight Blizzard和 The Dukes）有关联。第二个文件可能用于测试或侦察，研究人员注意到不存在恶意负载，但它用于在受害者打开消息时通知攻击者。  

APTT 组织使用开源聊天应用程序 Zulip 进行命令和控制，通过将恶意流量隐藏在合法服务后面来逃避检测。

活动中使用的文件使用了“告别德国大使”和“德国统一日”主题。第一个 PDF 包含嵌入式 JavaScript 代码，该代码启动多阶段感染过程，导致在目标系统上安装后门。执行 PDF 后，它会显示“打开文件”警告框。如果受害者打开它，代码将启动名为 Invitation_Farewell_DE_EMB 的恶意 HTML 文件。

“Invitation_Farewell_DE_EMB 是一个 HTML 文件。通过 HTML 走私，威胁行为者提供了一个包含恶意 HTML 应用程序 (HTA) 的 ZIP 文件。HTA 文件是一种广泛使用的 Living Off The Land 二进制文件 (LOLBIN)，其中包含 HTML 和脚本代码，用于创建由 Windows HTA 引擎 mshta.exe 执行的独立恶意应用程序。压缩的 HTA 文件最终会提供 Duke 恶意软件变种”

PDF 文件内的 mailto 地址引用合法域 bahamas.gov.bs。Lab52 从 7 月中旬起也观察到了该域名，该活动针对外交实体，冒充挪威大使馆发送的邀请。

威胁行为者使用 Zulip 的 API 将受害者详细信息发送到攻击者管理的聊天室 (toyy[.]zulipchat[.]com) 并发出恶意远程命令。

“EclecticIQ 分析师充满信心地评估，所识别的 pdf 文件是针对全球外交使团的更广泛活动的一部分。受害者学、网络钓鱼诱饵的主题、恶意软件传播和恶意软件本身与 OSINT 报告相似，该报告将该活动归因于 APT29。” 报告总结道。

研究人员还分享了妥协指标（IoC）。

8 月初，微软威胁情报报告称，与俄罗斯有关的网络间谍组织 APT29针对全球数十个组织和政府机构发起了 Microsoft Teams 网络钓鱼攻击。

攻击者利用小型企业拥有的先前受到威胁的 Microsoft 365 租户来创建显示为技术支持实体的新域。然后，APT29 利用 Teams 消息发送诱饵，试图通过吸引用户并诱骗用户批准多重身份验证 (MFA) 提示来窃取目标组织的凭据。

据微软称，国家支持的黑客攻击了不到 40 个独特的全球组织，包括政府机构、非政府组织 (NGO)、IT 服务、技术、离散制造和媒体部门。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7782.html