俄罗斯APT黑客2019冠状病毒疾病瞄准欧洲外交官

被称为APT29的俄罗斯链接威胁演员瞄准了欧洲外交使团和外交部，作为十月和2021年11月的一系列鱼叉式钓鱼活动的一部分。

根据与黑客新闻共享的ESET的T3 2021威胁报告，入侵为在受到破坏的系统上部署钴攻击信标铺平了道路，随后利用立足点来删除收集在同一网络中的主机和其他机器的信息的附加恶意软件。

高级持续威胁组织（advanced persistent threat group，简称Dukes、Cozy Bear和Nobelium）是一个臭名昭著的网络间谍组织，活跃了十多年，其攻击目标是欧洲和美国，后来因供应和#8208；SolarWinds的连锁危害，导致多个下游实体进一步感染，包括2020年的美国政府机构。

spear网络钓鱼攻击始于一封以COVID-19为主题的仿冒伊朗外交部的网络钓鱼电子邮件，其中包含一个HTML附件，打开后会提示收件人打开或保存一个ISO磁盘映像文件（“COVID.ISO”）。

如果受害者选择打开或下载该文件，“一小段JavaScript将对直接嵌入HTML附件中的ISO文件进行解码。”磁盘映像文件又包括一个使用mshta执行的HTML应用程序。exe运行一段PowerShell代码，最终将Cobalt Strike信标加载到受感染的系统。

ESET还将APT29对HTML和ISO磁盘映像（或VHDX文件）的依赖描述为一种规避技术，专门用于规避网络标记（MOTW）保护，这是微软为确定文件来源而引入的一种安全功能。

“ISO磁盘映像不会将所谓的Web标记传播到磁盘映像中的文件中，”研究人员说。“因此，即使ISO是从互联网下载的，打开HTA时也不会向受害者显示任何警告。”

成功获得初始访问权限后，威胁参与者提供了各种现成工具，用于查询目标的Active Directory（AdFind）、使用SMB协议在远程机器上执行命令（Sharp SMBEXC）、执行侦察（SharpView），甚至利用Windows特权升级漏洞（CVE-2021-36934）进行后续攻击。

“最近几个月的研究表明，公爵对西方组织构成了严重威胁，尤其是在外交领域，”研究人员指出。“他们非常执着，具有良好的运营安全性，他们知道如何创建令人信服的钓鱼信息。”