大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
2022年7月19日,研究人员揭示了一个令人担忧的消息:俄罗斯支持的APT29黑客组织(又名Cozy Bear或Nobelium)正在使用Google Drive等云服务作为新的恶意软件投递工具,目标直指多个西方国家的外交使团。
根据Palo Alto Networks旗下的Unit 42威胁情报团队的最新报告,这一黑客组织通过利用Google Drive和Dropbox等合法的云存储服务,巧妙地掩饰了恶意软件的传播路径,从而逃避了许多传统的检测手段。APT29因其在2020年发动的SolarWinds供应链攻击而闻名,此次他们采用了新的战术,再次证明了其在网络间谍活动中的高超技艺。
APT29如何利用Google Drive发动攻击?
报告指出,自2022年5月初以来,APT29通过鱼叉式网络钓鱼攻击(Spear Phishing),向多个西方国家的外交机构员工发送恶意电子邮件。这些邮件通常伪装成与外交活动相关的文件,例如“议程.pdf”这样的会议文件,诱使受害者点击。这些文件的链接则指向被黑的云存储服务,如Google Drive或Dropbox,受害者一旦点击,恶意软件就会悄无声息地植入其系统。
这次APT29新加入了Google Drive作为其恶意软件投递平台,让安全研究人员特别警惕。Google Drive因其在全球的广泛使用,以及用户对其信任,成为了网络攻击中的理想伪装工具。Unit 42的研究人员表示:“这种结合了受信任的服务和加密手段的新策略,极大地增加了组织检测恶意活动的难度。”
外交机构成为主要攻击目标
APT29主要瞄准了欧洲和南美的外交使团。研究人员发现,该组织通过钓鱼邮件,诱使葡萄牙和巴西驻外大使馆的官员点击恶意链接,进而窃取敏感信息。例如,2022年5月,他们曾向一个北约国家的外交部发送两封间隔仅几小时的钓鱼邮件,附件均为伪造的会议议程。这些邮件被用作投递恶意文件的载体,受害者一旦打开这些文档,便会触发EnvyScout——一种恶意软件安装器,用于将更多恶意程序注入受感染的系统。
研究还发现了APT29在6月30日发动的一次攻击,这次邮件涉及到与巴西大使馆的外交访问。值得注意的是,黑客在邮件中将“巴西”错拼成了“Brzail”,显示出其匆忙准备邮件时的失误。
网络攻击的复杂性与防范建议
APT29的攻击表明,随着技术的进步,黑客组织能够迅速适应和利用主流云服务进行恶意操作。Google和Dropbox等云存储服务的广泛使用,尤其是在全球用户中的高度信任,给网络安全带来了巨大挑战。研究人员警告,各个组织应尽快审查其电子邮件安全策略,并结合这份报告中的详细信息,做好防范工作。
谷歌已经意识到这一威胁,并采取了积极的防御措施。谷歌威胁分析小组(TAG)表示,他们与Palo Alto Networks等安全团队密切合作,确保及时发现并阻止APT29的恶意活动。Dropbox发言人也表示,公司已与行业合作伙伴合作,第一时间关闭了相关用户账户。
结语:APT29再次证明其强大的网络战能力
APT29作为俄罗斯政府支持的网络间谍组织,一直以其复杂且隐蔽的攻击手段闻名。通过利用Google Drive、Dropbox等主流云服务,他们再次证明了其具备在全球范围内发起精准网络攻击的能力。这一趋势警示全球的企业和政府机构,在面对国家支持的黑客组织时,需要保持高度警惕,并不断升级网络安全防护措施。
面对这样的高级持续性威胁,用户需要加强对钓鱼邮件的识别,尤其是对于看似可信的云服务链接。与此同时,企业和政府机构也应加强电子邮件的过滤与审查机制,确保在第一时间发现并阻止潜在的恶意活动。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友加入沟通交流。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):俄罗斯APT Cozy Bear利用Google Drive传播恶意软件,外交机构成主要目标
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论