EnvyScout是俄罗斯APT29组织使用的恶意软件，通过HTML文件释放包含后续恶意载荷的ISO文件。近期，研究人员捕获到EnvyScout攻击样本，该样本释放的ISO文件中包含LNK文件以及设置了文件隐藏属性的PE文件，通过LNK文件启动其中的正常EXE，进而以侧加载方式执行恶意DLL。恶意DLL利用团队协作通信服务Slack作为C&C信道，获取后续载荷并执行。邮件与PDF均使用意大利语，内容是要求机构部门人员完成COVID-19疫苗接种的通知，钓鱼邮件使用意大利政府域名进行伪装，因此可以认为此次攻击目标位于意大利。样本攻击流程如下所示：

俄罗斯APT29组织（又名Nobelium或Cozy Bear）发起了一项新的网络钓鱼活动，该活动利用Google Drive和Dropbox等云存储服务在受感染的系统上传递恶意负载。在2022年5月至2022年6月期间，该活动针对多个西方外交使团，活动中的诱饵表明，攻击者的目标是外国驻葡萄牙大使馆和外国驻巴西大使馆。钓鱼文档中的链接指向面向 Internet 的 Web 服务器，该服务器托管名为Agenda.html的文件，该文件为EnvyScout，用于进一步感染目标。活动概览如下图：

Cozy Bear组织又名Nobelium、APT29、The Dukes，是一个俄罗斯APT组织，主要针对西方政府和相关组织，特别关注政府、外交官、政治和智库部门。研究人员分析了几个与Cozy Bear相关的鱼叉式网络钓鱼活动，这些活动通过签名软件（如Adobe 套件）和合法的 Web服务（如Dropbox）作为命令和控制(C&C) 的通信载体，以规避自动分析软件的检测。

近日，研究人员披露了一个Nobelium组织的样本，文档伪装成以色列大使馆的文件，原始名称为“Ambassador_Absense.docx”。打开文档并激活内容时，会启动 HTA 脚本，调用一段 JS，该脚本具有解密并运行可执行库的功能。启动后，恶意代码会收集系统的数据，并将详细信息发送到远程服务器。

2022年5月3日，研究人员发布报告，介绍了俄罗斯国家支持的APT组织 NOBELIUM（APT29组织）使用的SOLARDEFLECTION基础设施。SOLARDEFLECTION C2 广泛使用仿冒域名，倾向于效仿各种媒体、新闻和技术提供商。潜在有害的域名注册和域名抢注可能导致鱼叉式网络钓鱼活动或重定向，从而对公司的品牌或员工构成更高的风险。

俄罗斯APT29组织（又名Cozy Bear 或 Nobelium）正针对外交官和政府实体发起网络钓鱼活动。电子邮件伪装成与各个大使馆相关的行政通知，滥用 Atlassian Trello 和其他合法的云服务平台来进行C2通信。 邮件包含一个名为 ROOTSAW（又名EnvyScout）的 HTML dropper 附件，当打开该附件时，会在目标系统上传递并执行一个名为 BEATDROP 的下载器。APT29组织还使用了一个名为 BOOMMIC（又名VaporRage）的工具，用于在环境中建立立足点并提升权限，以进行横向移动和对主机的广泛侦察。2022年2月该组织在后续操作中从BEATDROP转向使用基于C++的加载程序“BEACON”。BEATDROP的执行链如下：

1月27日，研究人员披露了StellarParticle活动的攻击细节，该活动与APT29组织有关。在最新的调查活动中，研究人员在受害者系统上发现了 GoldMax 的Linux版本变体和 TrailBlazer 恶意软件。这两种威胁至少自 2019 年年中以来就已在 StellarParticle 活动中使用，但在两年后的事件响应调查中才被发现。 简况APT29组织也被称为 CozyBear、The Dukes 和 Yttrium，该组织已经开展网络间谍活动超过 12 年。研究人员对于 StellarParticle 活动利用的新颖策略和技术进行了分析。这些技术包括：

自2021年2月以来，法国国家网络安全机构(ANSSI)发现了一系列针对法国实体的网络钓鱼活动。攻击者成功破坏了法国机构的电子邮件账户，然后利用这些账户向外国机构发送武器化电子邮件。这一系列钓鱼活动的技术指标与Nobelium组织的攻击活动相关，且与2020年的SOLARWINDS供应链攻击之间的TTP具有一定重叠。 简况Nobelium APT组织是SolarWinds事件的攻击者，是俄罗斯外国情报局 (SVR) 支持的黑客组织，也被称为APT29、Cozy Bear和The Dukes。Nobelium 是2020 年 7 月至 2021 年 6 月期间最活跃的俄罗斯黑客组织。

12月6日，研究人员发布报告称，俄罗斯黑客组织正使用新的自定义“Ceeloader”恶意软件，破坏全球政府和企业网络。研究人员将攻击活动归因于UNC3004 和 UNC2652，这两个黑客组织与Nobelium组织相关。 简况Nobelium APT组织是SolarWinds事件的攻击者，是俄罗斯外国情报局 (SVR) 支持的黑客组织，也被称为APT29、Cozy Bear和The Dukes。攻击者的初始入侵方式包括：破坏云提供商和 MSP通过信息窃取恶意软件攻击活动获得访问权限滥用重复多因素身份验证推送通知

Nobelium APT组织是SolarWinds事件的攻击者，是俄罗斯外国情报局 (SVR) 支持的黑客组织，也被称为APT29、Cozy Bear和The Dukes。10月25日，微软威胁情报中心发布报告称，Nobelium组织自2021年5月以来一直在开展持续性的攻击活动，目标是美国和欧洲的至少140家组织，其中14家企业的系统已被破坏。 简况Nobelium组织此次攻击的目标是云服务提供商 (CSP)、托管服务提供商 (MSP) 和其他 IT 服务组织的下游客户， 以服务提供商的特权帐户为目标，在云环境中横向移动，利用可信关系获取下游客户的访问权限，并实现进一步攻击或访问目标系统。NOBELIUM组织使用了一个多样化和动态的工具包，其中包括复杂的恶意软件、密码喷洒、供应链攻击、令牌盗窃、API 滥用和鱼叉式网络钓鱼，以危害用户帐户并利用这些帐户的访问权限。