Польша заявляет о новом уровне угрозы .
Служба военной контрразведки Польши и Группа реагирования на компьютерные чрезвычайные ситуации Польши (CERT-PL) обвинили группировку APT29 в широкомасштабных атаках на страны НАТО и Евросоюза.
По заявлениям ведомств, в рамках кампании группа кибершпионажа APT29 (также известная как Cozy Bear и Nobelium) собирает информацию от дипломатических учреждений и МИД.
Злоумышленники отправляют сотрудникам ведомств фишинговые электронные письма от лица посольств европейских стран, в которых указаны ссылки на вредоносные веб-сайты или вложения, предназначенные для развертывания вредоносного ПО через файлы ISO, IMG и ZIP.
Вредоносные сайты, контролируемые APT29, заражают жертв дроппером EnvyScout посредством метода HTML Smuggling (Контрабанда HTML). Этот метод позволяет развертывать загрузчики SNOWYAMBER и QUARTERRIG , предназначенные для доставки дополнительного вредоносного ПО, а также стейджер CobaltStrike Beacon под названием HALFRIG .
С помощью SNOWYAMBER и QUARTERRIG злоумышленники определяют ценность каждой цели для атаки и идентифицируют наличие приманок или виртуальных машин, используемых для анализа вредоносных программ. После проверки машины загрузчики SNOWYAMBER и QUARTERRIG используются для доставки и запуска инструментов Cobalt Strike или Brute Ratel
Цепочка атаки APT29
В 2020 году APT29 была связана с атакой на SolarWinds , которая была направлена на правительственные организации, корпорации и оборонных подрядчиков в США и других странах. Кампания была проведена при помощи вредоносных программ, таких как Sunburst, и привела к утечке конфиденциальной информации.
Кроме того, APT29 недавно была замечена в злоупотреблении законными системами обмена информацией , используемыми странами Евросоюза, для проведения шпионажа. Злоумышленники нацелились на дипломатические учреждения и системы, передающие конфиденциальную информацию о политике региона.