他们是baaack
针对众多西方目标的一场网络延伸运动被归咎于一个臭名昭著的克里姆林宫链接团体,其业务在雷达之下持续了近两年。
APT29(又名“舒适的熊”)重新出现了一个网络钓鱼活动,该活动是美国国务院的电子邮件消息。该电子邮件包含指向带有恶意窗口快捷方式的邮政编码的链接,以交付钴罢工后门。
智囊团,执法,媒体,运输,制药,美国军事,国家政府和国防承包商都是进攻性的威胁英特尔公司Fireeye的目标报告。
与俄罗斯政府有联系的黑客团体舒适的熊被指责为袭击,部分原因是在截至2016年11月的前两年中的相似之处。
Fireeye报告说:“这与2016年活动之间的相似之处包括Windows快捷方式元数据,目标组织和特定个人,网络钓鱼电子邮件构建以及使用受损的基础设施的使用。”
“显着的差异包括使用钴罢工,而不是自定义恶意软件;但是,许多间谍行为者确实使用公共和商业上可用的框架出于合理的可否认性。”
最新的攻击远非微妙,Infosec专家在内报告当遇到这种无聊的袭击时,这种防病毒防御能力像圣诞树一样点亮。
跨多个行业的20多个火灾客户的目标是针对的。
为什么放弃高地?
APT29与APT28不同 - 自从攻击袭击以来,已经发布了许多月的消息荷兰和挪威政府的目标2017年2月。长期缺席后的重新出现,导致安全专家大量抓挠。
Fireeye的研究人员有打折该理论最新的攻击是如此嘈杂和微妙,可能是第三方使用以前与俄罗斯国家赞助黑客相关的策略来误导责备的策略。
这使俄罗斯黑客要么超出了他们关心侦查的程度,要么使当前任务的紧迫性被发现是第二关注的可能性。
前美国政府英特尔官员杰森·基肯(Jason Kichen)写信:“自2016年秋天以来,29实际上一直处于休眠状态……这种演员不仅是因为原因而被封存。
“拥有收集和专业计划并完全在TI [威胁情报]部门的雷达下运作的自由,这是一个不错的选择。因此,哪个任务目标是如此重要,以放弃这么高的立场并将自己重新放在雷达上?”
APT29与其他安全研究人员有关俄罗斯情报,但没有任何一致性,或者是由俄罗斯外国情报局(SVR)还是联邦安全服务(FSB)领导的。
从舒适的熊到花式熊
在其他网络活动新闻中,据称遇到桌面的精通技术的间谍正在使用最近的狮子空气灾难作为主题,并以散乱的诱捕单词附件为主题。
欧盟,美国和前苏联国家的政府组织的目标是最终旨在种植Zebrocy Trojan,Palo Alto Networks的研究人员42单元研究机构报告。
它补充说,相同的Sofacy(APT28)小组正在使用“非常相似的送货文件来交付新的特洛伊木马”。
Cannon将电子邮件用作指挥和控制受感染宿主的渠道,这是一种不寻常的策略,使网络辩护人变得更加艰难。
“这不是一种新策略,但可能更有效地逃避检测,因为所涉及的外部主机是合法的电子邮件服务提供商,”博客文章第42单元研究人员罗伯特·法尔科内(Robert Falcone)和布莱恩·李(Bryan Lee)。
“添加SMTPS和POP3S协议为合法的基于Web的服务提供的加密层,您有一个非常困难的C2通道可阻止。”beplay体育能用吗
APT28(也称为“花哨的熊”)在其他地方被确定为俄罗斯军事情报的单位,格鲁(Gru)是一个归咎于黑客攻击的团体,随后在2016年总统选举期间,美国民主党的泄漏以及其他剥削。
