Nobelium 也稱為 APT29 和 Cozy Bear，是一個疑似俄羅斯支持的高級網(wǎng)絡(luò)犯罪團(tuán)伙。兩年前，他們發(fā)起的 SolarWinds 攻擊使得無數(shù)防御團(tuán)隊夜以繼日的工作。最近，APT29 又轉(zhuǎn)換了攻擊目標(biāo)，將視線轉(zhuǎn)移到了大使館。

研究人員發(fā)現(xiàn)，APT29 正在冒充與土耳其大使館有關(guān)的人員進(jìn)行釣魚郵件攻擊。釣魚郵件以 Omicron/Covid-19 疫情為誘餌，督促與大使館有關(guān)的人應(yīng)該格外注意。

釣魚郵件

電子郵件源地址是一個專注于社會事務(wù)的政府部門泄露的電子郵件賬戶。郵件從非洲一個法語國家發(fā)出，偽裝成土耳其大使館的郵件發(fā)送到講葡萄牙語的國家，郵件本身是用英文寫的。

郵件帶有 .html 的附件，樣本文件會創(chuàng)建惡意 JavaScript 文件。

惡意 JavaScript 對比

最初，APT29 發(fā)起的 HTML Smuggling 攻擊使用 EnvyScout 將文本轉(zhuǎn)換為 .iso 文件。EnvyScout 是該組織的工具之一，都是 x-cd-image應(yīng)用程序類型的文件。如下所示，創(chuàng)建 .iso 文件的函數(shù)已經(jīng)被簡化了。

創(chuàng)建 ISO

創(chuàng)建的 .ISO 文件被用戶打開后，Windows 將文件掛在到可用驅(qū)動器號上。

掛載 ISO 文件

APT29 此前使用的惡意文件和最新的而已文件都包含指向 DLL 文件的快捷方式。bin 文件夾中的 DLL 文件名為 DeleteDateConnectionPosition.dll。

后續(xù)的載荷為 Cobalt Strike，快捷方式使用名為 DeleteDateConnectionPosition的導(dǎo)出函數(shù)啟動 DLL。

DLL 導(dǎo)出函數(shù)

DLL 文件的許多函數(shù)中都包含垃圾代碼，其中包含 C&C 服務(wù)器。

C&C 服務(wù)器

JARM 指紋

C&C 服務(wù)器 sinitude.com的 JARM 指紋在很多服務(wù)器上被發(fā)現(xiàn)，其中許多服務(wù)器也仍然是 Cobalt Strike 服務(wù)器。

在惡意軟件家族 BazarLoader 有關(guān)的 C&C 服務(wù)器上也發(fā)現(xiàn)了相同的 JARM 指紋，該惡意軟件家族不會在俄文計算機(jī)上運行。

查看遙測數(shù)據(jù)，有幾個 IP 地址連接到 C&C 服務(wù)器。但分析后發(fā)現(xiàn)，其實只有一個 IP 地址創(chuàng)建了完整鏈接，該地址位于烏克蘭第二大城市哈爾科夫，且是 Tor 網(wǎng)絡(luò)中的一部分。

結(jié)論

APT29 使用的技術(shù)與過去類似，釣魚郵件仍然是有效的攻擊方式。