freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

俄罗斯黑客针对新冠疫苗开发的组织进行网络攻击活动
2020-07-17 10:24:49
所属地 天津

2020年7月16日,美国网络安全和基础设施安全局(CISA),英国国家网络安全中心(NCSC),加拿大通信安全机构(CSE)和美国国家安全局(NSA)发布了一份联合安全分析报告。报告指出,名为APT29的俄罗斯黑客组织正在针对美国,英国和加拿大的新冠研究和疫苗相关的恶意网络活动。该组织使用各种工具和技术来针对参与新冠研究和疫苗开发的组织。工具包括SOREFANG,WELLMESS和WELLMAIL恶意软件。

报告指出,该组织使用了多个公开漏洞对存在漏洞的系统进行扫描和利用,目的是获取凭证。在针对新冠疫苗研发的近期攻击中,该组织针对目标组织拥有的特定外部IP地址进行了基本漏洞扫描。然后,该小组针对发现的脆弱服务部署了公共的漏洞利用程序。

CVE-2019-19781 Citrix 

CVE-2019-11510 Pulse Secure 

CVE-2018-13379 FortiGate

CVE-2019-9670 Zimbra

该组织还使用钓鱼邮件来获取目标组织的互联网登录页面的身份验证凭据。当使用被盗凭据时,参与者可能会使用匿名服务,如Tor。

报告中重点强调了WellMess木马,该木马此前被日本CERT首次曝光过。

而值得注意的是,说到WellMess这个木马,是否会有些熟悉味道?在今年上半年,我国某款著名VPN被黑客组织利用漏洞攻击后,释放的木马实际上与该报告末的规则如出一辙。这在他们的报告里面也提到了。

因此,都要注意了。

关于WellMess的攻击为何归因于APT29的攻击,报告没有解释,因为他们开头就来了几个肯定词,感觉无法反驳的样子。

报告还提到了一种名为WellMail的恶意软件,是一种轻量级工具,旨在运行命令或脚本,并将结果发送到硬编码的命令和控制(C2)服务器。

更多详情请自行下载报告查看:

https://github.com/blackorbird/APT_REPORT/blob/master/International%20Strategic/Russia/Advisory-APT29-targets-COVID-19-vaccine-development.pdf

此外,报告中还发布了大量的攻击者网络资产和木马规则,可以留存排查一二。

同时,在报告发布不久,美国网络司令部也将APT29的恶意软件上传至Virustotal,以供安全分析人员参考。

参考链接

virustotal

# 俄罗斯 # 鱼叉式网络钓鱼 # 疫苗 # APT29 # 新冠病毒
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者