【安全资讯】俄罗斯APT29组织攻击外交和政府实体

猎影实验室 2022-05-05 07:19:21 2704人浏览

俄罗斯APT29组织(又名Cozy Bear 或 Nobelium)正针对外交官和政府实体发起网络钓鱼活动。电子邮件伪装成与各个大使馆相关的行政通知,滥用 Atlassian Trello 和其他合法的云服务平台来进行C2通信。

 

邮件包含一个名为 ROOTSAW(又名EnvyScout)的 HTML dropper 附件,当打开该附件时,会在目标系统上传递并执行一个名为 BEATDROP 的下载器。APT29组织还使用了一个名为 BOOMMIC(又名VaporRage)的工具,用于在环境中建立立足点并提升权限,以进行横向移动和对主机的广泛侦察。2022年2月该组织在后续操作中从BEATDROP转向使用基于C++的加载程序“BEACON”。BEATDROP的执行链如下:

失陷指标(IOC)13
APT APT29 BEATDROP BOOMMIC 政府部门 外交
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。