2020年7月16日,美国网络安全和基础设施安全局(CISA)、英国国家网络安全中心(NCSC)、加拿大通信安全局(CSE)和美国国家安全局(NSA)发布了联合安全分析。该报告指出,一个名为APT29的俄罗斯黑客组织正在瞄准美国、英国和加拿大与COVID-19研究和疫苗相关的恶意网络活动。该组织使用各种工具和技术来瞄准参与COVID-19研究和疫苗开发的组织。工具包括SOREFANG、WELLMESS和WELLMAIL恶意软件。该报告指出,该组织使用多个公开可用的漏洞来扫描和利用易受攻击的系统以获取凭据。在最近一次针对COVID-19疫苗开发的攻击中,该组织对目标组织拥有的特定外部IP地址进行了基本漏洞扫描。然后,该团队针对发现的易受攻击的服务部署了公共攻击。CVE-2019-19781CitrixCVE-2019-11510PulseSecureCVE-2018-13379FortiGateCVE-2019-9670Zimbra该组织还使用网络钓鱼电子邮件获取目标组织互联网登录页面的身份验证凭据。使用窃取的凭据时,参与者可能会使用匿名服务,例如Tor。该报告重点介绍了日本CERT最先曝光的WellMess木马。值得注意的是,提到WellMess木马,是不是有种似曾相识的感觉?今年上半年,我国某款软件被黑客组织利用漏洞攻击后,释放的木马竟然与报告末尾的规则一模一样。他们的报告中也提到了这一点。因此,请注意。报道并没有解释为什么将WellMess攻击归咎于APT29攻击,因为他们一开始就给出了一些正面的话,看起来无可辩驳。该报告还提到了一种名为WellMail的恶意软件,这是一种轻量级工具,旨在运行命令或脚本并将结果发送到硬编码的命令和控制(C2)服务器。更多详情请自行下载报告:https://github.com/blackorbird/APT_REPORT/blob/master/International%20Strategic/Russia/Advisory-APT29-targets-COVID-19-vaccine-development.pdf另外,报告中还发布了大量攻击者网络资产和木马规则,可以留存调查。同时,在报告发布后不久,美国网络司令部也将APT29的恶意软件上传至Virustotal,供安全分析师参考。
