[[415035]]

7月30日，RiskIQ 披露了關(guān)于 APT29 的攻擊基礎(chǔ)設(shè)施，共計(jì) 30 多臺(tái)運(yùn)營(yíng)著的 C&C 服務(wù)器。這些服務(wù)器被懷疑與 WellMess 惡意軟件有關(guān)，但目前尚未有確鑿證據(jù)。

臭名昭著的APT組織

APT 29 又名 Cozy Bear，被業(yè)界認(rèn)為是俄羅斯外國(guó)情報(bào)局(SVR)管理的攻擊組織，常使用 WellMess 惡意軟件進(jìn)行攻擊。APT 29 也被認(rèn)為是去年年底大規(guī)模 SolarWinds 供應(yīng)鏈攻擊的攻擊者，美國(guó)和英國(guó)政府正式歸因給俄羅斯外國(guó)情報(bào)局(SVR)。

網(wǎng)絡(luò)安全社區(qū)以各種代號(hào)跟蹤該組織的活動(dòng)，包括 UNC2452(FireEye)、Nobelium(Microsoft)、SolarStorm(Unit 42)、StellarParticle(Crowdstrike)、Dark Halo(Volexity)、Iron Ritual(Secureworks)。

WellMess 又名 WellMail，在 2018 年首次被日本 JPCERT/CC 發(fā)現(xiàn)，該惡意軟件也用于攻擊英國(guó)、加拿大和美國(guó)竊取 COVID-19 的疫苗研究。

英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)在 2020 年 7 月發(fā)布的一份咨詢報(bào)告中指出：

“APT 29 組織使用各種工具和技術(shù)，主要針對(duì)政府、外交、智庫(kù)、醫(yī)療保健和能源目標(biāo)來(lái)獲取相關(guān)情報(bào)”。

活動(dòng)新發(fā)現(xiàn)

APT 29 通常有針對(duì)性地使用 WellMess 惡意軟件，所以相關(guān)痕跡并不多。最近公開披露的新的 WellMess C&C 服務(wù)器的信息引起了 RiskIQ 的注意：

RiskIQ 表示在 6 月 11 日后就開始著手調(diào)查 APT 29 的攻擊基礎(chǔ)設(shè)施，發(fā)現(xiàn)了不少于 30 個(gè)正在運(yùn)營(yíng)的 C&C 服務(wù)器。其中一臺(tái) C&C 服務(wù)器早在 2020 年 10 月 9 日就處于活躍狀態(tài)，但目前尚不清楚這些服務(wù)器的攻擊目標(biāo)是誰(shuí)。

RiskIQ 在 4 月就發(fā)現(xiàn)了 APT 29 的 18 臺(tái) C&C 服務(wù)器，4 月份發(fā)現(xiàn)的這批攻擊基礎(chǔ)設(shè)施與 SolarWinds 供應(yīng)鏈攻擊有關(guān)，很可能與 TEARDROP 和 RAINDROP 惡意軟件有關(guān)。

RiskIQ 認(rèn)為對(duì)這批攻擊基礎(chǔ)設(shè)施的歸因是十分扎實(shí)的，APT 29 正在積極使用這些 IP 地址和相關(guān)證書，但目前尚未發(fā)現(xiàn)與該基礎(chǔ)設(shè)施通信的惡意軟件。

IOC