法国国家信息安全局(ANSSI)近日发布报告称,与俄罗斯有关联的威胁行为者Nobelium对法国外交机构发起了一系列网络攻击。尽管ANSSI将这些攻击归因于著名的网络间谍组织Nobelium(也被称为APT29、SVR集团、Cozy Bear、Midnight Blizzard、BlueBravo和The Dukes),但ANSSI将这些群体区分为不同的威胁集群,其中包括在2020年SolarWinds攻击中负责的Dark Halo。
攻击目标及方式
自2020年10月以来,Nobelium主要针对高价值目标进行网络间谍活动。已知受害者中包括西方的外交实体,如大使馆和外交部。然而,从2023年末到2024年,多个IT公司也报告称遭到了Nobelium的攻击。
ANSSI的报告基于法国机构收集的证据、其国家伙伴(称为C4成员)分享的信息以及公开可用的报告。该文件警告称,Nobelium通过钓鱼邮件攻击法国的公共和外交机构,目的是获取战略情报。
“Nobelium的特点是使用特定的代码、战术、技术和程序。大多数针对外交机构的Nobelium活动使用被妥协的外交人员合法电子邮件账户,进行钓鱼活动攻击外交机构、大使馆和领事馆。”报告中写道。“这些活动也被公开描述为‘外交轨道’行动。”
攻击手段与后果
攻击者伪造诱饵文件,目标是外交人员,试图传送自定义加载器,以投放像Cobalt Strike或Brute Ratel C4这样的公开后期利用工具。这些工具允许攻击者访问受害者的网络,进行横向移动,投放额外的有效载荷,保持持久性并窃取有价值的情报。
ANSSI确认,2023年末至2024年间,多个IT公司也报告称遭到了Nobelium的攻击。
“法国公共组织多次成为由Nobelium操作人员通过已被妥协的外国机构发送的钓鱼邮件的目标。”报告继续写道。“从2021年2月至5月,Nobelium操作人员进行了几次钓鱼活动,利用法国文化部和国家领土协调局(ANCT)的被妥协邮件账户,发送名为‘战略评估’的附件。”
2022年3月,一封假冒法国大使馆的钓鱼邮件被发送至南非的一家欧洲大使馆,声称在一起恐怖袭击后将关闭。攻击者通过一名被妥协的法国外交官账户发送了这封邮件。2022年4月和5月,Nobelium的钓鱼邮件到达了数十个法国外交部的邮箱,邮件主题涉及乌克兰大使馆关闭或与葡萄牙大使会面。
持续的威胁
2023年5月,Nobelium对基辅的多家欧洲大使馆发起钓鱼攻击,包括法国大使馆,邮件内容关于“出售外交车辆”。ANSSI还报告了一次试图妥协罗马尼亚法国大使馆的失败尝试。
“在当前地缘政治紧张局势的背景下,尤其是与俄罗斯对乌克兰的侵略有关,ANSSI观察到与Nobelium有关的活动高度活跃。Nobelium对政府和外交机构的活动构成了国家安全威胁,危及法国和欧洲的外交利益。Nobelium操作人员针对IT和网络安全实体进行间谍活动,可能增强了其攻击能力和威胁性。”报告总结道,并提供了攻击指标。“Nobelium的技术、战术和程序在一段时间内基本保持不变。”
原文始发于微信公众号(紫队安全研究):俄罗斯APT Nobelium(APT29)攻击法国外交机构
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论