【安全资讯】APT29针对意大利的攻击活动分析

EnvyScout是俄罗斯APT29组织使用的恶意软件，通过HTML文件释放包含后续恶意载荷的ISO文件。近期，研究人员捕获到EnvyScout攻击样本，该样本释放的ISO文件中包含LNK文件以及设置了文件隐藏属性的PE文件，通过LNK文件启动其中的正常EXE，进而以侧加载方式执行恶意DLL。恶意DLL利用团队协作通信服务Slack作为C&C信道，获取后续载荷并执行。邮件与PDF均使用意大利语，内容是要求机构部门人员完成COVID-19疫苗接种的通知，钓鱼邮件使用意大利政府域名进行伪装，因此可以认为此次攻击目标位于意大利。样本攻击流程如下所示：