针对欧洲、美洲和亚洲外交实体的俄罗斯黑客

在2022年1月17日开始的一系列网络钓鱼活动中，观察到一名俄罗斯国家赞助的威胁行为人以外交和政府实体为目标。

威胁情报和事件响应公司Mandiant将此次袭击归因于一个被追踪为APT29（又名Cozy Bear）的黑客组织，其中一些活动与机组人员的绰号Nobelium（又名UNC2452/2652）有关。

Mandiant在上周发布的一份报告中表示：“这一波最新的矛式网络钓鱼展示了APT29从世界各国政府获取外交和外交政策信息的持久利益。”。

据称，最初的访问是通过伪装成行政通知的矛式网络钓鱼电子邮件，使用其他外交实体提供的合法但泄露的电子邮件地址进行的。

这些电子邮件包含一个名为ROOTSAW（又名EnvyScout）的HTML滴管附件，打开后会触发一个感染序列，在目标系统上传递并执行一个名为BEATDROP的下载程序。

BEATDROP是用C编写的，旨在从远程指挥与控制（C2）服务器检索下一阶段的恶意软件。它通过滥用Atlassian的Trello服务来存储受害者信息并获取要执行的AES加密外壳代码有效载荷来实现这一点。

APT29还使用了一种名为BOOMMIC（又名VaporRage）的工具，以在环境中建立立足点，然后提升其在受损网络中的权限，以便横向移动和广泛侦察主机。

此外，在2022年2月观察到的后续行动转变中，威胁参与者从BEATDROP转向了基于C++的加载程序（称为BEACON），这可能反映出该集团有能力定期更改TTP以保持在雷达之下。

BEACON是用C或C++编程的，是Cobalt Strike框架的一部分，它有助于任意命令执行、文件传输和其他后门功能，如捕获屏幕截图和键盘记录。

这一发展是在这家网络安全公司决定将未分类的群集UNC2452合并到APT29之后进行的，同时注意到这家高度复杂的集团倾向于发展和完善其技术交易工艺，以混淆活动并限制其数字足迹，以避免被发现。

值得注意的是，Nobelium通过供应链攻击破坏了多家企业，对手在该攻击中访问并篡改SolarWinds源代码，并使用供应商的合法软件更新将恶意软件传播到客户系统。

曼迪安说：“TTP的持续稳定发展表明了其纪律严明的性质以及对秘密行动和持久性的承诺。”他将APT29描述为“一个不断发展、纪律严明、技术高超的威胁行为体，以更高的作战安全水平（OPSEC）进行情报收集。”

该调查结果还与微软的一份特别报告相吻合，该报告观察到Nobelium试图破坏为北约成员国政府客户服务的IT公司，利用从西方外交政策组织窃取数据的渠道。