安全星图平台

Cozy Bear

APT29归属于俄罗斯，政府背景，和俄罗斯一个或多个情报机构有关，其收集情报以支持外交和安全政策做决定，至少自2008年开始就已经运作。APT29似乎针对不同的目标项目拥有不同的小组。其目标包括军事、政府、能源、外交、电信等。主要针对西方政府和相关组织，例如政府部门和机构，政治智囊团和政府分包商；还包括独立国家联合体成员国的政府；亚洲、非洲和中东国家的政府；与车臣极端主义有关的组织；以及从事管制药物和毒品非法贸易的俄罗斯发言人等。

历史活动组织概况 IOC情报

2023-08-14
APT29组织伪造德国大使馆PDF文件发起钓鱼攻击安恒威胁情报中心

研究人员观察到针对北约联盟国家外交部的两份 PDF 文档。这些 PDF 文件伪装成来自德国大使馆，包含两个外交邀请诱饵文件。其中一个 PDF 提供了 Duke 的变种，这是一种与俄罗斯国家资助的 APT29 网络间谍活动相关的恶意软件。另一个文件很可能用于测试或侦察，因为它不包含有效负载，但如果受害者打开电子邮件附件，则会通知攻击者。APT29组织使用 Zulip（一款开源聊天应用程序）进行命令和控制，以逃避并将其活动隐藏在合法的网络流量后面。
2023-08-08
APT29组织针对政府机构进行网络钓鱼攻击安恒威胁情报中心

APT29组织针对包括政府机构在内的全球数十个组织进行Microsoft Teams网络钓鱼攻击。攻击者使用受感染的 Microsoft 365 租户和技术支持主题创建新域。这些新域是“ onmicrosoft.com ”域的一部分，这是一个合法的 Microsoft 域，Microsoft 365 会自动将其用于后备目的，以防未创建自定义域。APT29在此活动中针对政府、非政府组织 (NGO)、IT 服务、技术、离散制造和媒体部门的特定间谍目标。
2023-08-01
BlueBravo 利用 GraphicalProton 恶意软件瞄准外交实体安恒威胁情报中心

BlueBravo 组织与俄罗斯 APT 组织 APT29 和 Midnight Blizzard有相似之处，这些组织隶属于俄罗斯对外情报局（SVR）。BlueBravo 一直在加紧努力，利用合法互联网服务 (LIS) 隐藏命令和控制网络流量，同时扩大为此目的滥用的服务范围。2023 年 1 月，研究人员报告了 BlueBravo 使用 GraphicalNeutrino，这是一种通过主题诱饵传播的恶意软件。该组织始终采用受损的基础设施、已知的恶意软件系列、用于命令和控制 (C2) 的第三方服务以及重复使用的诱饵主题。
2023-07-27
APT29近期仿冒德国大使馆下发恶意PDF文件安恒威胁情报中心

安恒信息猎影实验室在对APT29组织的持续追踪时发现，APT29在俄乌冲突时期加大了对各国相关部门的攻击活动。今年先后仿冒了波兰、乌克兰、土耳其、挪威等欧盟国家大使馆，进行鱼叉式网络钓鱼邮件攻击。该组织在活动中利用合法服务DropBox、GoogleDrive、Slack、Trello、Notion API进行通信，最后下发CobaltStrike、BruteRatel等恶意负载。近期再次捕获到APT29仿冒德国大使馆的攻击活动，活动攻击流程大致如下：邮件附件为包含HTML代码的PDF文件，运行后将在本地释放zip文件；
2023-07-24
APT29冒充挪威大使馆发起钓鱼攻击安恒威胁情报中心

APT29组织在新的网络钓鱼活动中冒充挪威大使馆，使用主题为“邀请 - 圣卢西亚庆典”的电子邮件，其中带有格式为.svg的附件。打开.svg文件后，文件会执行一个脚本，安装并下载包含下一阶段感染的.iso 扩展名的文件。
2023-07-17
APT29利用宝马汽车广告针对乌克兰外交官员安恒威胁情报中心

APT29组织在最新活动中，利用宝马汽车广告来针对乌克兰首都基辅的外交官。此次攻击活动从2023年5月份开始进行，当收件人单击恶意文档中嵌入的链接时，将被重定向到 HTML 页面，该页面通过HTML走私传递恶意ISO文件。当受害者打开任何冒充PNG图像的LNK文件时，他们会启动一个合法的可执行文件，利用“白加黑”加载恶意DLL文件将Shellcode注入当前进程的内存中执行。
2023-03-20
NOBELIUM组织攻击援助乌克兰的欧盟政府安恒威胁情报中心

APT29组织针对欧盟国家及其外交系统（包括波兰驻美国大使的外交系统）发起了新的攻击活动。此特定活动的感染媒介是包含武器化文档的有针对性的网络钓鱼电子邮件。恶意文档包含一个指向 HTML 文件下载的链接。
2023-03-17
APT29组织利用Notion API攻击欧盟委员会安恒威胁情报中心

从 2023 年 2 月中旬开始，APT29组织针对与欧盟委员会成员相关的多个电子邮件地址展开鱼叉式网络钓鱼活动。该攻击涉及分发恶意 .iso 映像，其中包含VaporRage下载程序的新样本。一旦执行，恶意软件就会利用Notion API部署Cobalt Strike信标。针对欧盟委员会的攻击的执行流程如下图：
2022-11-10
APT29组织攻击欧洲外交实体网络安恒威胁情报中心

俄罗斯APT29间谍组织利用了一个称为 "凭证漫游"的Windows功能，对欧洲外交实体发起攻击。APT29组织在受害者网络内处于活动状态的短时间内，针对Active Directory系统执行了大量具有非典型属性的 LDAP 查询。查询的 LDAP 属性与通常的凭证信息收集有关，还包含Active Directory鲜为人知的功能的一部分：凭据漫游。凭据漫游是在 Windows Server 2003 SP1 中引入的，允许用户以安全的方式在Windows域的不同工作站中访问他们的凭证（即私钥和证书）。
2022-07-21
APT29针对意大利的攻击活动分析安恒威胁情报中心

EnvyScout是俄罗斯APT29组织使用的恶意软件，通过HTML文件释放包含后续恶意载荷的ISO文件。近期，研究人员捕获到EnvyScout攻击样本，该样本释放的ISO文件中包含LNK文件以及设置了文件隐藏属性的PE文件，通过LNK文件启动其中的正常EXE，进而以侧加载方式执行恶意DLL。恶意DLL利用团队协作通信服务Slack作为C&C信道，获取后续载荷并执行。邮件与PDF均使用意大利语，内容是要求机构部门人员完成COVID-19疫苗接种的通知，钓鱼邮件使用意大利政府域名进行伪装，因此可以认为此次攻击目标位于意大利。样本攻击流程如下所示：
查看更多