APT29也被称为 Cozy Bear作为与俄罗斯对外情报局SVR有关的威胁集团,今年在间谍攻击的范围和频率上有所增长,这是由于克里姆林宫希望获取更多情报以支持其对乌克兰的战争。研究人员表示,该组织在工具和作战方式上进行了重要改进,以提高其黑客操作的效率并降低被侦测的可能性。
Mandiant 在 9 月 21 日的文章中提到,这些变化与俄罗斯在乌克兰发起反攻之际寻求更多情报的努力是一致的。APT29 针对乌克兰的外籍大使馆,尤其是俄罗斯的合作伙伴大使馆,增加了网络钓鱼攻击。
研究人员 Luke Jenkins、Josh Atkins 和 Dan Black指出,这是 Mandiant 首次观察到该威胁集团以战略方式针对与莫斯科对齐的国家。同时,APT29 还增加了对全球其他地区外交实体的常规间谍活动。
“在这些恶意软件传播操作中,APT29 继续优先攻击欧洲外交事务部和大使馆,但也维持了具有全球范围的行动,展示了俄罗斯在其他地区的广泛雄心和利益。”
此外,APT29 持续开展针对微软基于云服务的初步访问活动。Mandiant 指出,尽管外交攻击和针对微软的活动有所不同,但一旦 APT29 的初步访问团队渗透到受害者的环境中,他们便会将后续行动交由专门负责数据外泄的集中化团队。
自 2021 年以来,APT29 因使用名为 Rootsaw 的恶意软件投放工具,通过一种称为 HTML 走私 的策略传递恶意 HTML 附件而闻名。然而,随着今年工作量的增加,其战术、技术和程序TTPs也随之演变。
今年观察到的恶意软件传播链最显著变化是将第一阶段有效载荷托管在被攻陷的网站上,比如 WordPress 站点。研究人员表示:“将第一阶段有效载荷迁移到服务器端,可能让 APT29 对其恶意软件传播链拥有更大的控制权,并让该组织在后续阶段功能曝光上更加谨慎。”
这一变化还减少了威胁演员在被攻陷网络中留下的取证痕迹,意味着安全团队和研究人员日后检测和分析的证据更少。
在三月,该组织在一项活动中增加了一层混淆,通过 TinyURL 短网址服务生成恶意钓鱼链接。今年观察到的其他新技术包括首次在 PDF 文档中包含 Rootsaw。当打开该恶意 PDF 文件时,它会将一个 HML 文件写入磁盘,然后该文件会向由该组织控制的域发送请求,以获取受害者的信息。
Mandiant 表示,APT29 更快的运作节奏,以及其分化为初步访问和集中化开发团队的变化,“可能反映出其收集政治情报的任务和资源池正在扩大”。
研究人员表示,这一威胁集团“几乎可以肯定会继续对全球政府和外交实体构成高严重性威胁。”
快喵加速器破解版
