Cozy Bear组织又名Nobelium、APT29、The Dukes,是一个俄罗斯APT组织,主要针对西方政府和相关组织,特别关注政府、外交官、政治和智库部门。研究人员分析了几个与Cozy Bear相关的鱼叉式网络钓鱼活动,这些活动通过签名软件(如Adobe 套件)和合法的 Web服务(如Dropbox)作为命令和控制(C&C) 的通信载体,以规避自动分析软件的检测。
近日,研究人员披露了一个Nobelium组织的样本,文档伪装成以色列大使馆的文件,原始名称为“Ambassador_Absense.docx”。打开文档并激活内容时,会启动 HTA 脚本,调用一段 JS,该脚本具有解密并运行可执行库的功能。启动后,恶意代码会收集系统的数据,并将详细信息发送到远程服务器。
2022年5月3日,研究人员发布报告,介绍了俄罗斯国家支持的APT组织 NOBELIUM(APT29组织)使用的SOLARDEFLECTION基础设施。SOLARDEFLECTION C2 广泛使用仿冒域名,倾向于效仿各种媒体、新闻和技术提供商。潜在有害的域名注册和域名抢注可能导致鱼叉式网络钓鱼活动或重定向,从而对公司的品牌或员工构成更高的风险。
俄罗斯APT29组织(又名Cozy Bear 或 Nobelium)正针对外交官和政府实体发起网络钓鱼活动。电子邮件伪装成与各个大使馆相关的行政通知,滥用 Atlassian Trello 和其他合法的云服务平台来进行C2通信。 邮件包含一个名为 ROOTSAW(又名EnvyScout)的 HTML dropper 附件,当打开该附件时,会在目标系统上传递并执行一个名为 BEATDROP 的下载器。APT29组织还使用了一个名为 BOOMMIC(又名VaporRage)的工具,用于在环境中建立立足点并提升权限,以进行横向移动和对主机的广泛侦察。2022年2月该组织在后续操作中从BEATDROP转向使用基于C++的加载程序“BEACON”。BEATDROP的执行链如下:
1月27日,研究人员披露了StellarParticle活动的攻击细节,该活动与APT29组织有关。在最新的调查活动中,研究人员在受害者系统上发现了 GoldMax 的Linux版本变体和 TrailBlazer 恶意软件。这两种威胁至少自 2019 年年中以来就已在 StellarParticle 活动中使用,但在两年后的事件响应调查中才被发现。 简况APT29组织也被称为 CozyBear、The Dukes 和 Yttrium,该组织已经开展网络间谍活动超过 12 年。研究人员对于 StellarParticle 活动利用的新颖策略和技术进行了分析。这些技术包括:
自2021年2月以来,法国国家网络安全机构(ANSSI)发现了一系列针对法国实体的网络钓鱼活动。攻击者成功破坏了法国机构的电子邮件账户,然后利用这些账户向外国机构发送武器化电子邮件。这一系列钓鱼活动的技术指标与Nobelium组织的攻击活动相关,且与2020年的SOLARWINDS供应链攻击之间的TTP具有一定重叠。 简况Nobelium APT组织是SolarWinds事件的攻击者,是俄罗斯外国情报局 (SVR) 支持的黑客组织,也被称为APT29、Cozy Bear和The Dukes。Nobelium 是2020 年 7 月至 2021 年 6 月期间最活跃的俄罗斯黑客组织。
12月6日,研究人员发布报告称,俄罗斯黑客组织正使用新的自定义“Ceeloader”恶意软件,破坏全球政府和企业网络。研究人员将攻击活动归因于UNC3004 和 UNC2652,这两个黑客组织与Nobelium组织相关。 简况Nobelium APT组织是SolarWinds事件的攻击者,是俄罗斯外国情报局 (SVR) 支持的黑客组织,也被称为APT29、Cozy Bear和The Dukes。攻击者的初始入侵方式包括:破坏云提供商和 MSP通过信息窃取恶意软件攻击活动获得访问权限滥用重复多因素身份验证推送通知
Nobelium APT组织是SolarWinds事件的攻击者,是俄罗斯外国情报局 (SVR) 支持的黑客组织,也被称为APT29、Cozy Bear和The Dukes。10月25日,微软威胁情报中心发布报告称,Nobelium组织自2021年5月以来一直在开展持续性的攻击活动,目标是美国和欧洲的至少140家组织,其中14家企业的系统已被破坏。 简况Nobelium组织此次攻击的目标是云服务提供商 (CSP)、托管服务提供商 (MSP) 和其他 IT 服务组织的下游客户, 以服务提供商的特权帐户为目标,在云环境中横向移动,利用可信关系获取下游客户的访问权限,并实现进一步攻击或访问目标系统。NOBELIUM组织使用了一个多样化和动态的工具包,其中包括复杂的恶意软件、密码喷洒、供应链攻击、令牌盗窃、API 滥用和鱼叉式网络钓鱼,以危害用户帐户并利用这些帐户的访问权限。
研究人员发现了Tomiris新型木马与Nobelium组织之间的联系。Nobelium APT组织是SolarWinds事件的攻击者,是俄罗斯外国情报局 (SVR) 支持的黑客组织。Tomiris是一个用Go语言编写的后门,其作用是不断查询其C2服务器以获取可执行文件。 简况2021年6月,研究人员在一个身份不明的独联体成员国的多个政府网络上观察到DNS劫持的迹象,这些事件发生在2020年12月到2021年1月,允许威胁行为者在特定时间内将来自政府邮件服务器的流量重定向到攻击者控制的机器。在这些时间段内,上述区域的权威DNS服务器被切换到攻击者控制的解析器。这些劫持大部分时间相对较短,而且似乎主要针对受影响组织的邮件服务器。研究人员推测,攻击者以某种方式获得了受害者使用的注册商控制面板的证书。
Nobelium黑客组织,也被称为APT29、Cozy Bear和The Dukes,是SolarWinds供应链攻击的始作俑者。该组织已被美国政府认定为俄罗斯外国情报局 (SVR) 支持的黑客组织。微软威胁情报中心发现了Nobelium黑客组织用来部署额外负载的新后门,并将其称为FoggyWeb。FoggyWeb是一种被动且针对性强的后门,可以获得对联合身份验证服务(AD FS)的管理员访问权限。 简况NOBELIUM使用FoggyWeb后门远程渗透受感染的AD FS服务器的配置数据库、解密的令牌签名证书和令牌解密证书,还可以从命令和控制 (C2) 服务器接收并执行其他恶意组件。在入侵 AD FS 服务器后,NOBELIUM 在系统上释放两个文件: