俄罗斯黑客使用DropBox和Google Drive丢弃恶意有效载荷

被称为APT29的俄罗斯国家资助黑客组织被认为是一场新的钓鱼活动，该活动利用合法的云服务，如Google Drive和Dropbox，在受损系统上提供恶意有效载荷。

帕洛阿尔托网络第42分队在周二的一份报告中表示：“据信，这些行动在2022年5月至6月期间针对了几个西方外交使团”。“这些活动中包含的诱惑表明，目标是外国驻葡萄牙大使馆和外国驻巴西大使馆。”

APT29也被称为“舒适熊”、“斗篷熊”或“公爵”，被描述为一个有组织的网络间谍组织，致力于收集符合俄罗斯战略目标的情报。

高级持续威胁活动的某些方面，包括臭名昭著的2020年SolarWinds供应链攻击，由微软以Nobelium的名义单独跟踪，Mandiant称其为一个不断发展、纪律严明、技术娴熟的威胁参与者，其操作具有更高的操作安全性”。

在较新的迭代中，改变的是使用Dropbox和Google Drive等云服务来隐藏其行为，并将其他恶意软件检索到目标环境中。2022年5月下旬观察到的第二个版本的攻击据说进一步适应了托管Dropbox中的HTML dropper。

Cluster25当时指出：“随着时间的推移，分析的战役和有效载荷显示出对雷达下操作和降低探测率的强烈关注”。“在这方面，即使使用Trello和Dropbox等合法服务，也表明对手愿意在未被发现的受害者环境中长期运作”。

就其本身而言，EnvyScout是一个辅助工具，可以用参与者选择的植入物进一步感染目标，在这种情况下，这是一个基于.NET的可执行文件，隐藏在多层模糊中，用于过滤系统信息以及执行下一阶段的二进制文件，例如从Google Drive获取的Cobalt Strike。

研究人员说：“DropBox和Google Drive服务的使用[…]对这一参与者来说是一种新策略，而且由于这些服务无处不在，而且它们受到全球数百万客户的信任，因此检测起来很有挑战性”。

调查结果还与欧盟理事会（Council of The European Union）的一项新声明不谋而合，该声明呼吁俄罗斯威胁行为体的恶意网络活动激增，并“谴责这种在网络空间不可接受的行为”

该委员会在一份新闻声明中表示：“在对乌克兰战争的背景下，恶意网络活动的增加，造成了不可接受的溢出效应、误解和可能升级的风险”。