2020年7月16日，美國網(wǎng)絡安全和基礎設施安全局(CISA)，英國國家網(wǎng)絡安全中心(NCSC)，加拿大通信安全機構(CSE)和美國國家安全局(NSA)發(fā)布了一份聯(lián)合安全分析報告。

報告指出，名為APT29的俄羅斯黑客組織正在針對美國，英國和加拿大的新冠研究和疫苗相關的惡意網(wǎng)絡活動。該組織使用各種工具和技術來針對參與新冠研究和疫苗開發(fā)的組織。工具包括SOREFANG，WELLMESS和WELLMAIL惡意軟件。

報告指出，該組織使用了多個公開漏洞對存在漏洞的系統(tǒng)進行掃描和利用，目的是獲取憑證。在針對新冠疫苗研發(fā)的近期攻擊中，該組織針對目標組織擁有的特定外部IP地址進行了基本漏洞掃描。然后，該小組針對發(fā)現(xiàn)的脆弱服務部署了公共的漏洞利用程序。

• CVE-2019-19781 Citrix
• CVE-2019-11510 Pulse Secure
• CVE-2018-13379 FortiGate
• CVE-2019-9670 Zimbra

該組織還使用釣魚郵件來獲取目標組織的互聯(lián)網(wǎng)登錄頁面的身份驗證憑據(jù)。當使用被盜憑據(jù)時，參與者可能會使用匿名服務，如Tor。

報告中重點強調(diào)了WellMess木馬，該木馬此前被日本CERT首次曝光過。

而值得注意的是，說到WellMess這個木馬，是否會有些熟悉味道?在今年上半年，我國某款軟件被黑客組織利用漏洞攻擊后，釋放的木馬實際上與該報告末的規(guī)則如出一轍。這在他們的報告里面也提到了。

因此，都要注意了。

關于WellMess的攻擊為何歸因于APT29的攻擊，報告沒有解釋，因為他們開頭就來了幾個肯定詞，感覺無法反駁的樣子。

報告還提到了一種名為WellMail的惡意軟件，是一種輕量級工具，旨在運行命令或腳本，并將結果發(fā)送到硬編碼的命令和控制(C2)服務器。

更多詳情請自行下載報告查看：

https://github.com/blackorbird/APT_REPORT/blob/master/International%20Strategic/Russia/Advisory-APT29-targets-COVID-19-vaccine-development.pdf

此外，報告中還發(fā)布了大量的攻擊者網(wǎng)絡資產(chǎn)和木馬規(guī)則，可以留存排查一二。

同時，在報告發(fā)布不久，美國網(wǎng)絡司令部也將APT29的惡意軟件上傳至Virustotal，以供安全分析人員參考。