Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Эксперты выявили новую C&C-инфраструктуру APT29

02/08/21

bearhacker-1Эксперты принадлежащей Microsoft ИБ-компании RiskIQ выявили новую C&C-инфраструктуру, использующуюся нашумевшей APT-группой APT29 (она же Cozy Bear) и активно распространяющую вредоносное ПО WellMess в рамках текущей вредоносной кампании.

В общей сложности специалисты обнаружили более тридцати серверов, использующихся APT29, которая является главным подозреваемым в громких атаках на цепочку поставок SolarWinds в прошлом году.

Впервые обнаруженное в 2018 году японской JPCERT/CC вредоносное ПО WellMess (другое название WellMail) ранее использовалось в шпионских кампаниях, целью которых являлось похищение интеллектуальной собственности у различных организаций, в том числе занимающихся разработкой вакцин против COVID-19, в Великобритании, США и Канаде.

Специалисты RiskIQ начали расследование в отношении инфраструктуры APT29 после сообщения об обнаруженном 11 июня C&C-сервера WellMess и в результате выявили целый кластер серверов. Один из серверов был активен с 9 октября 2020 года, однако непонятно, ни как эти серверы использовались, ни кто был жертвой кибератак.

Это не первый раз, когда RiskIQ удалось выявить части C&C-инфраструктуры, связанные с хакерами, взломавшие SolarWinds. В апреле исследователи обнаружили дополнительный кластер из 18 серверов, которые, вероятнее всего, коммуницировали со вторичной полезной нагрузкой Cobalt Strike, доставляемой с помощью вредоносного ПО TEARDROP и RAINDROP. Эксперты с большой уверенностью связали обнаруженные IP-адреса с APT29. Им не удалось выявить какое-либо вредоносное ПО, связывающееся с этими серверами, но подозревают, что оно похожее образцы вредоносного ПО, обнаруженного ранее.

Темы:ПреступленияFancy BearAPT-группыRiskIQ
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...