7月30日,RiskIQ披露了APT29的攻击基础设施,共有30多台运行的C&C服务器。这些服务器被怀疑与WellMess恶意软件有关,但目前还没有确凿的证据。臭名昭著的APT组织APT29,又名CozyBear,被业界认为是由俄罗斯外国情报局(SVR)管理的攻击组织,经常使用WellMess恶意软件进行攻击。APT29也被认为是去年年底大规模SolarWinds供应链攻击背后的攻击者,美国和英国政府正式将其归因于俄罗斯的外国情报局(SVR)。网络安全社区以各种代号跟踪该组织的活动,包括UNC2452(FireEye)、Nobelium(Microsoft)、SolarStorm(Unit42)、StellarParticle(Crowdstrike)、DarkHalo(Volexity)、IronRitual(Secureworks)。WellMess,也称为WellMail,于2018年首次被日本的JPCERT/CC发现,该恶意软件还被用于攻击英国、加拿大和美国,以窃取COVID-19疫苗研究成果。英国国家网络安全中心(NCSC)2020年7月发布的一份报告称:“APT29使用多种工具和技术来获取有关政府、外交、智库、医疗保健和能源目标的情报。”。该活动新发现APT29通常有针对性地使用WellMess恶意软件,因此相关踪迹不多。最近公开披露的新WellMessC&C服务器信息引起了RiskIQ的注意:RiskIQ表示已开始调查6月11日之后APT29的攻击基础设施,发现不少于30台C&C服务器在运行,其中一台C&C服务器早在2020年10月9日就处于活动状态,但目前尚不清楚这些服务器的攻击目标是谁。RiskIQ在4月份发现了APT29的18台C&C服务器,4月份发现的攻击基础设施与SolarWinds供应链攻击有关,很可能与TEARDROP和RAINDROP恶意软件有关。RiskIQ认为此攻击基础设施的归因是可靠的,APT29积极使用这些IP地址和相关凭据,但到目前为止尚未发现与此基础设施通信的恶意软件。国际奥委会
