Nobelium,也被称为APT29和CozyBear,是一个疑似得到俄罗斯支持的高级网络犯罪团伙。两年前,他们的SolarWinds攻击让无数防御团队夜以继日地工作。近日,APT29改变了攻击目标,将视线转移到了大使馆。研究人员发现,APT29正在伪装成与土耳其大使馆有关联的人发送网络钓鱼电子邮件。使用Omicron/Covid-19爆发作为诱饵的网络钓鱼电子邮件,敦促与大使馆有关的人员格外小心。钓鱼邮件的源地址是某政府部门社会事务的泄露邮箱。这封电子邮件是从非洲的一个法语国家发送的,伪装成土耳其大使馆的电子邮件发送给一个葡萄牙语国家,并且电子邮件本身是用英语写的。电子邮件带有.html附件,示例文件创建恶意JavaScript文件。恶意JavaScript比较最初,APT29发起的HTMLSmuggling攻击使用EnvyScout将文本转换为.iso文件。EnvyScout是该组织的工具之一,它是x-cd-image应用程序类型的文件。创建.iso文件的函数已简化如下所示。创建ISO用户打开创建的.ISO文件后,Windows将文件挂载到可用的驱动器号上。挂载ISO文件APT29之前的恶意文件和最新的恶意文件都包含DLL文件的快捷方式。bin文件夹中的DLL文件名为DeleteDateConnectionPosition.dll。随后的有效负载是CobaltStrike,快捷方式使用名为DeleteDateConnectionPosition的导出函数启动DLL。DLL导出函数DLL文件包含许多函数中的垃圾代码,包括C&C服务器。C&C服务器JARM指纹C&C服务器sinitude.com的JARM指纹在许多服务器上被发现,其中许多仍然是CobaltStrike服务器。在与BazarLoader恶意软件家族相关的C&C服务器上也发现了相同的JARM指纹,该恶意软件不在俄语计算机上运行。查看遥测数据,有多个IP地址连接到C&C服务器。然而,分析显示,只有一个IP地址,位于乌克兰第二大城市哈尔科夫市和Tor网络的一部分,实际上创建了完整链接。结论APT29使用的技术与以往相似,钓鱼邮件仍然是一种有效的攻击手段。
