針對多國政府官員的黑客攻擊還在繼續……

自2021年以來，被稱為Winter Vivern的高級持續威脅與針對印度、立陶宛、斯洛伐克和梵蒂岡政府官員的活動有關。

SentinelOne 在與黑客新聞分享的一份報告中稱，該活動針對波蘭政府機構、烏克蘭外交部、意大利外交部以及印度政府內部的個人。

“特別令人感興趣的是APT以私營企業為目標，包括在正在進行的戰爭中支持烏克蘭的電信組織。”高級威脅研究員湯姆黑格爾說。

Winter Vivern，也被追蹤為UAC-0114，上個月在烏克蘭計算機應急響應小組(CERT-UA)詳細介紹了針對烏克蘭和波蘭國家當局的新惡意軟件活動后引起了人們的注意，該活動旨在傳播一種名為 Aperetif 的惡意軟件。

此前記錄該組織的公開報告顯示，它利用包含XLM宏的武器化Microsoft Excel文檔在受感染主機上部署PowerShell植入程序。

雖然威脅行為者的來源尚不清楚，但攻擊模式表明該集群符合支持白俄羅斯和俄羅斯政府利益的目標。

UAC-0114 采用了多種方法，從網絡釣魚網站到惡意文檔，這些方法都是為目標組織量身定制的，以分發其自定義有效負載并獲得對敏感系統的未授權訪問。

在2022年，年中觀察到的一批攻擊中，Winter Vivern 設置了憑據網絡釣魚網頁，以引誘印度政府合法電子郵件服務email.gov.in的用戶。

典型的攻擊鏈涉及使用偽裝成病毒掃描程序的批處理腳本來觸發 Aperetif 木馬從參與者控制的基礎設施（例如受感染的WordPress站點）的部署。

Aperetif 是一種基于 Visual C++ 的惡意軟件，具有收集受害者數據、維護后門訪問以及從命令和控制 (C2) 服務器檢索額外有效載荷的功能。

“Winter Vivern APT 是一個資源有限但極富創造力的組織，他們在攻擊范圍內表現出克制，”黑格爾說，“他們引誘目標參與攻擊的能力，以及他們以政府和高價值私營企業為目標，都表明了他們行動的復雜程度和戰略意圖。”

雖然 Winter Vivern 可能已經成功地在很長一段時間內避開了公眾的視線，但一個不太擔心保持低調的組織是 Nobelium，它與 APT29（又名 BlueBravo、Cozy Bear 或 The Dukes）有重疊。

因2020年12月的SolarWinds供應鏈妥協而臭名昭著的克里姆林宮支持的民族國家組織繼續發展其工具集，開發新的自定義惡意軟件，如MagicWeb和GraphicalNeutrino。

這也歸因于另一場針對歐盟外交實體的網絡釣魚活動，特別強調“幫助烏克蘭公民逃離該國并向烏克蘭政府提供幫助”的機構。

“Nobelium 積極收集有關在俄烏戰爭中支持烏克蘭的國家的情報信息，”黑莓表示。“威脅行為者會仔細跟蹤地緣政治事件，并利用它們來增加成功感染的可能性。”

該公司的研究和情報團隊發現的網絡釣魚電子郵件包含一個武器化文檔，其中包含一個指向HTML文件的鏈接。

這些武器化的URL托管在位于薩爾瓦多的合法在線圖書館網站上，具有與LegisWrite和eTrustEx相關的誘餌，歐盟國家使用這兩者進行安全文件交換。

活動中提供的HTML投放程序（稱為ROOTSAW或EnvyScout）嵌入了一個ISO映像，而該映像又旨在啟動一個惡意動態鏈接庫 (DLL)，該庫有助于通過Notion的API傳送下一階段的惡意軟件。

Recorded Future 曾于2023年1月披露了流行的筆記應用程序 Notion 用于C2通信的情況。值得注意的是，APT29使用了Dropbox、Google Drive、Firebase和Trello等各種在線服務，試圖逃避檢測。

“Nobelium 仍然非常活躍，同時針對美國、歐洲和中亞的政府組織、非政府組織(NGO)、政府間組織(IGO)和智庫開展多項活動.”微軟上個月表示。

調查結果發布之際，企業安全公司 Proofpoint 披露了自2021年初以來與俄羅斯結盟的威脅行為者TA499（又名Lexus和Vovan）策劃的攻擊性電子郵件活動，以誘騙目標參與錄制的電話或視頻聊天并提取有價值的信息。

該公司表示：“威脅行為者一直在從事穩定的活動，并將其目標擴大到包括為烏克蘭人道主義工作提供大筆捐款或公開聲明俄羅斯虛假信息和宣傳的知名商人和知名人士。”