Nobelium 也稱為 APT29 和 Cozy Bear，是一個疑似俄羅斯支持的高級網(wǎng)絡犯罪團伙。兩年前，他們發(fā)起的 SolarWinds 攻擊使得無數(shù)防御團隊夜以繼日的工作。最近，APT29 又轉換了攻擊目標，將視線轉移到了大使館。

研究人員發(fā)現(xiàn)，APT29 正在冒充與土耳其大使館有關的人員進行釣魚郵件攻擊。釣魚郵件以 Omicron/Covid-19 疫情為誘餌，督促與大使館有關的人應該格外注意。

釣魚郵件

電子郵件源地址是一個專注于社會事務的政府部門泄露的電子郵件賬戶。郵件從非洲一個法語國家發(fā)出，偽裝成土耳其大使館的郵件發(fā)送到講葡萄牙語的國家，郵件本身是用英文寫的。

郵件帶有 .html 的附件，樣本文件會創(chuàng)建惡意 JavaScript 文件。

惡意 JavaScript 對比

最初，APT29 發(fā)起的 HTML Smuggling 攻擊使用 EnvyScout 將文本轉換為 .iso 文件。EnvyScout 是該組織的工具之一，都是 x-cd-image應用程序類型的文件。如下所示，創(chuàng)建 .iso 文件的函數(shù)已經被簡化了。

創(chuàng)建 ISO

創(chuàng)建的 .ISO 文件被用戶打開后，Windows 將文件掛在到可用驅動器號上。

掛載 ISO 文件

APT29 此前使用的惡意文件和最新的而已文件都包含指向 DLL 文件的快捷方式。bin 文件夾中的 DLL 文件名為 DeleteDateConnectionPosition.dll。

后續(xù)的載荷為 Cobalt Strike，快捷方式使用名為 DeleteDateConnectionPosition的導出函數(shù)啟動 DLL。

DLL 導出函數(shù)

DLL 文件的許多函數(shù)中都包含垃圾代碼，其中包含 C&C 服務器。

C&C 服務器

JARM 指紋

C&C 服務器 sinitude.com的 JARM 指紋在很多服務器上被發(fā)現(xiàn)，其中許多服務器也仍然是 Cobalt Strike 服務器。

在惡意軟件家族 BazarLoader 有關的 C&C 服務器上也發(fā)現(xiàn)了相同的 JARM 指紋，該惡意軟件家族不會在俄文計算機上運行。

查看遙測數(shù)據(jù)，有幾個 IP 地址連接到 C&C 服務器。但分析后發(fā)現(xiàn)，其實只有一個 IP 地址創(chuàng)建了完整鏈接，該地址位于烏克蘭第二大城市哈爾科夫，且是 Tor 網(wǎng)絡中的一部分。

結論

APT29 使用的技術與過去類似，釣魚郵件仍然是有效的攻擊方式。