【安全资讯】俄罗斯APT29组织攻击外交和政府实体
俄罗斯APT29组织(又名Cozy Bear 或 Nobelium)正针对外交官和政府实体发起网络钓鱼活动。电子邮件伪装成与各个大使馆相关的行政通知,滥用 Atlassian Trello 和其他合法的云服务平台来进行C2通信。
邮件包含一个名为 ROOTSAW(又名EnvyScout)的 HTML dropper 附件,当打开该附件时,会在目标系统上传递并执行一个名为 BEATDROP 的下载器。APT29组织还使用了一个名为 BOOMMIC(又名VaporRage)的工具,用于在环境中建立立足点并提升权限,以进行横向移动和对主机的广泛侦察。2022年2月该组织在后续操作中从BEATDROP转向使用基于C++的加载程序“BEACON”。BEATDROP的执行链如下:
失陷指标(IOC)13
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享