Польша обвиняет APT29 в масштабных атаках на НАТО и ЕС: кибершпионы или политическая игра?

Служба военной контрразведки Польши и Группа реагирования на компьютерные чрезвычайные ситуации Польши (CERT-PL) обвинили группировку APT29 в широкомасштабных атаках на страны НАТО и Евросоюза.

По заявлениям ведомств, в рамках кампании группа кибершпионажа APT29 (также известная как Cozy Bear и Nobelium) собирает информацию от дипломатических учреждений и МИД.

Злоумышленники отправляют сотрудникам ведомств фишинговые электронные письма от лица посольств европейских стран, в которых указаны ссылки на вредоносные веб-сайты или вложения, предназначенные для развертывания вредоносного ПО через файлы ISO, IMG и ZIP.

Вредоносные сайты, контролируемые APT29, заражают жертв дроппером EnvyScout посредством метода HTML Smuggling (Контрабанда HTML). Этот метод позволяет развертывать загрузчики SNOWYAMBER и QUARTERRIG , предназначенные для доставки дополнительного вредоносного ПО, а также стейджер CobaltStrike Beacon под названием HALFRIG .

С помощью SNOWYAMBER и QUARTERRIG злоумышленники определяют ценность каждой цели для атаки и идентифицируют наличие приманок или виртуальных машин, используемых для анализа вредоносных программ. После проверки машины загрузчики SNOWYAMBER и QUARTERRIG используются для доставки и запуска инструментов Cobalt Strike или Brute Ratel

.

Цепочка атаки APT29

В 2020 году APT29 была связана с атакой на SolarWinds , которая была направлена на правительственные организации, корпорации и оборонных подрядчиков в США и других странах. Кампания была проведена при помощи вредоносных программ, таких как Sunburst, и привела к утечке конфиденциальной информации.

Кроме того, APT29 недавно была замечена в злоупотреблении законными системами обмена информацией , используемыми странами Евросоюза, для проведения шпионажа. Злоумышленники нацелились на дипломатические учреждения и системы, передающие конфиденциальную информацию о политике региона.