安全星图平台

Cozy Bear

APT29归属于俄罗斯，政府背景，和俄罗斯一个或多个情报机构有关，其收集情报以支持外交和安全政策做决定，至少自2008年开始就已经运作。APT29似乎针对不同的目标项目拥有不同的小组。其目标包括军事、政府、能源、外交、电信等。主要针对西方政府和相关组织，例如政府部门和机构，政治智囊团和政府分包商；还包括独立国家联合体成员国的政府；亚洲、非洲和中东国家的政府；与车臣极端主义有关的组织；以及从事管制药物和毒品非法贸易的俄罗斯发言人等。

历史活动组织概况 IOC情报

2022-11-10
APT29组织攻击欧洲外交实体网络安恒威胁情报中心

俄罗斯APT29间谍组织利用了一个称为 "凭证漫游"的Windows功能，对欧洲外交实体发起攻击。APT29组织在受害者网络内处于活动状态的短时间内，针对Active Directory系统执行了大量具有非典型属性的 LDAP 查询。查询的 LDAP 属性与通常的凭证信息收集有关，还包含Active Directory鲜为人知的功能的一部分：凭据漫游。凭据漫游是在 Windows Server 2003 SP1 中引入的，允许用户以安全的方式在Windows域的不同工作站中访问他们的凭证（即私钥和证书）。
2022-07-21
APT29针对意大利的攻击活动分析安恒威胁情报中心

EnvyScout是俄罗斯APT29组织使用的恶意软件，通过HTML文件释放包含后续恶意载荷的ISO文件。近期，研究人员捕获到EnvyScout攻击样本，该样本释放的ISO文件中包含LNK文件以及设置了文件隐藏属性的PE文件，通过LNK文件启动其中的正常EXE，进而以侧加载方式执行恶意DLL。恶意DLL利用团队协作通信服务Slack作为C&C信道，获取后续载荷并执行。邮件与PDF均使用意大利语，内容是要求机构部门人员完成COVID-19疫苗接种的通知，钓鱼邮件使用意大利政府域名进行伪装，因此可以认为此次攻击目标位于意大利。样本攻击流程如下所示：
2022-07-21
APT29组织使用DropBox和Google Drive释放恶意负载安恒威胁情报中心

俄罗斯APT29组织（又名Nobelium或Cozy Bear）发起了一项新的网络钓鱼活动，该活动利用Google Drive和Dropbox等云存储服务在受感染的系统上传递恶意负载。在2022年5月至2022年6月期间，该活动针对多个西方外交使团，活动中的诱饵表明，攻击者的目标是外国驻葡萄牙大使馆和外国驻巴西大使馆。钓鱼文档中的链接指向面向 Internet 的 Web 服务器，该服务器托管名为Agenda.html的文件，该文件为EnvyScout，用于进一步感染目标。活动概览如下图：
2022-05-20
APT29组织滥用合法软件攻击欧洲目标安恒威胁情报中心

Cozy Bear组织又名Nobelium、APT29、The Dukes，是一个俄罗斯APT组织，主要针对西方政府和相关组织，特别关注政府、外交官、政治和智库部门。研究人员分析了几个与Cozy Bear相关的鱼叉式网络钓鱼活动，这些活动通过签名软件（如Adobe 套件）和合法的 Web服务（如Dropbox）作为命令和控制(C&C) 的通信载体，以规避自动分析软件的检测。
2022-05-06
Nobelium组织针对以色列大使馆的攻击活动分析安恒威胁情报中心

近日，研究人员披露了一个Nobelium组织的样本，文档伪装成以色列大使馆的文件，原始名称为“Ambassador_Absense.docx”。打开文档并激活内容时，会启动 HTA 脚本，调用一段 JS，该脚本具有解密并运行可执行库的功能。启动后，恶意代码会收集系统的数据，并将详细信息发送到远程服务器。
2022-05-06
SOLARDEFLECTION C2基础设施分析报告安恒威胁情报中心

2022年5月3日，研究人员发布报告，介绍了俄罗斯国家支持的APT组织 NOBELIUM（APT29组织）使用的SOLARDEFLECTION基础设施。SOLARDEFLECTION C2 广泛使用仿冒域名，倾向于效仿各种媒体、新闻和技术提供商。潜在有害的域名注册和域名抢注可能导致鱼叉式网络钓鱼活动或重定向，从而对公司的品牌或员工构成更高的风险。
2022-05-05
俄罗斯APT29组织攻击外交和政府实体安恒威胁情报中心

俄罗斯APT29组织（又名Cozy Bear 或 Nobelium）正针对外交官和政府实体发起网络钓鱼活动。电子邮件伪装成与各个大使馆相关的行政通知，滥用 Atlassian Trello 和其他合法的云服务平台来进行C2通信。邮件包含一个名为 ROOTSAW（又名EnvyScout）的 HTML dropper 附件，当打开该附件时，会在目标系统上传递并执行一个名为 BEATDROP 的下载器。APT29组织还使用了一个名为 BOOMMIC（又名VaporRage）的工具，用于在环境中建立立足点并提升权限，以进行横向移动和对主机的广泛侦察。2022年2月该组织在后续操作中从BEATDROP转向使用基于C++的加载程序“BEACON”。BEATDROP的执行链如下：
2022-02-09
TrailBlazer：APT29组织隐藏多年的恶意软件猎影实验室

1月27日，研究人员披露了StellarParticle活动的攻击细节，该活动与APT29组织有关。在最新的调查活动中，研究人员在受害者系统上发现了 GoldMax 的Linux版本变体和 TrailBlazer 恶意软件。这两种威胁至少自 2019 年年中以来就已在 StellarParticle 活动中使用，但在两年后的事件响应调查中才被发现。简况APT29组织也被称为 CozyBear、The Dukes 和 Yttrium，该组织已经开展网络间谍活动超过 12 年。研究人员对于 StellarParticle 活动利用的新颖策略和技术进行了分析。这些技术包括：
2021-12-07
NOBELIUM组织与针对法国实体的钓鱼活动有关猎影实验室

自2021年2月以来，法国国家网络安全机构(ANSSI)发现了一系列针对法国实体的网络钓鱼活动。攻击者成功破坏了法国机构的电子邮件账户，然后利用这些账户向外国机构发送武器化电子邮件。这一系列钓鱼活动的技术指标与Nobelium组织的攻击活动相关，且与2020年的SOLARWINDS供应链攻击之间的TTP具有一定重叠。简况Nobelium APT组织是SolarWinds事件的攻击者，是俄罗斯外国情报局 (SVR) 支持的黑客组织，也被称为APT29、Cozy Bear和The Dukes。Nobelium 是2020 年 7 月至 2021 年 6 月期间最活跃的俄罗斯黑客组织。
2021-12-07
俄罗斯黑客组织使用新型Ceeloader恶意软件攻击全球企业和政府猎影实验室

12月6日，研究人员发布报告称，俄罗斯黑客组织正使用新的自定义“Ceeloader”恶意软件，破坏全球政府和企业网络。研究人员将攻击活动归因于UNC3004 和 UNC2652，这两个黑客组织与Nobelium组织相关。简况Nobelium APT组织是SolarWinds事件的攻击者，是俄罗斯外国情报局 (SVR) 支持的黑客组织，也被称为APT29、Cozy Bear和The Dukes。攻击者的初始入侵方式包括：破坏云提供商和 MSP通过信息窃取恶意软件攻击活动获得访问权限滥用重复多因素身份验证推送通知
查看更多