與俄羅斯有關的 APT29 依靠 Google Drive、Dropbox 來逃避檢測
與俄羅斯有關的 APT29 依靠 Google Drive、Dropbox 來逃避檢測
與俄羅斯有關的威脅參與者 APT29 正在使用 Google Drive 云存儲服務來逃避檢測。
Palo Alto Networks 研究人員報告稱,與俄羅斯有關的APT29組織(被研究人員追蹤為 Cloaked Ursa)開始使用 Google Drive 云存儲服務來逃避檢測。
與俄羅斯有關的 APT29 組織(又名 SVR、 Cozy Bear和 The Dukes)至少從 2014 年開始就活躍起來,與 APT28 網絡間諜組織一起參與了 民主黨全國委員會的黑客攻擊 和針對 2016 年美國總統的攻擊浪潮選舉。
攻擊者使用在線存儲服務來竊取數據并丟棄他們的惡意負載。
使用合法的云服務對這個民族國家行為者來說并不新鮮,但專家指出,在最近的兩次活動中,黑客首次利用了 Google Drive 云存儲服務。
“Google Drive 云存儲服務無處不在,再加上全球數百萬客戶對它們的信任,使得它們被包含在這個 APT 的惡意軟件交付過程中格外令人擔憂。” 閱讀Palo Alto Network 發布的分析。“這位演員最近的競選活動為即將與大使舉行的會議提供了議程的誘惑。”
專家們觀察到的最近的攻擊活動在 2022 年 5 月至 2022 年 6 月期間針對多個西方外交使團。這些活動中包含的誘餌顯示,民族國家行為者以外國駐葡萄牙大使館和外國駐巴西大使館為目標。網絡釣魚消息包括指向惡意 HTML 文件 ( EnvyScout ) 的鏈接,該文件充當其他惡意有效負載的投放器,包括 Cobalt Strike 信標。
EnvyScout 是一種工具,用于進一步用其他植入物感染目標。威脅參與者使用它來對第二種狀態惡意軟件的內容進行去混淆處理,該惡意軟件采用惡意 ISO 文件的形式。這種技術被稱為 HTML Smuggling。
基于對 Palo Alto Networks 分析的樣本中網絡釣魚消息、生產者和 PDF 版本元數據的創建時間的分析,威脅搜尋活動使專家能夠識別 2022 年 4 月初上傳到 VirusTotal 的其他可疑文檔。
“其中許多文件似乎是與常見網絡犯罪技術相關的網絡釣魚文件。這表明網絡犯罪和 APT 參與者可能利用一個常見的網絡釣魚構建器來生成這些文件。” 繼續報告。
攻擊中使用的文件 Agenda.html 用于對有效負載進行去混淆處理,也用于將惡意 ISO 文件寫入受害者的硬盤驅動器。有效負載文件是一個名為 Agenda.iso 的 ISO 文件。
下載 ISO 后,用戶必須單擊它以啟動感染鏈并在目標系統上執行惡意代碼。用戶必須雙擊 ISO 文件,然后雙擊快捷方式文件 Information.lnk,以啟動感染過程。
“他們最近的兩個活動展示了他們的復雜性和通過使用 DropBox 和 Google Drive 服務來混淆惡意軟件部署的能力。對于這個演員來說,這是一種新策略,而且由于這些服務無處不在,而且它們受到全球數百萬客戶的信任,因此很難檢測到這一策略。” 報告結束。
作者: 皮爾路易吉·帕格尼尼
