【安全资讯】APT29针对意大利的攻击活动分析

匿名用户 2022-07-21 16:41:35 379人浏览

EnvyScout是俄罗斯APT29组织使用的恶意软件,通过HTML文件释放包含后续恶意载荷的ISO文件。近期,研究人员捕获到EnvyScout攻击样本,该样本释放的ISO文件中包含LNK文件以及设置了文件隐藏属性的PE文件,通过LNK文件启动其中的正常EXE,进而以侧加载方式执行恶意DLL。恶意DLL利用团队协作通信服务Slack作为C&C信道,获取后续载荷并执行。邮件与PDF均使用意大利语,内容是要求机构部门人员完成COVID-19疫苗接种的通知,钓鱼邮件使用意大利政府域名进行伪装,因此可以认为此次攻击目标位于意大利。样本攻击流程如下所示:

失陷指标(IOC)8
APT APT29 EnvyScout 意大利
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。