法国信息安全机构ANSSI报告说,与俄罗斯有联系的APT Nobelium针对法国外交实体。尽管这家法国机构将这些攻击与网络间谍组织 Nobelium(又名 APT29、SVR 组织、Cozy Bear、Midnight Blizzard、BlueBravo 和 The Dukes)联系起来,但 ANSSI 将这些组织区分为单独的威胁集群,包括一个名为 Dark Halo 的组织,该组织负责 2020 年的 SolarWinds 攻击。
2020 年 10 月,用于打击高价值目标,很可能用于间谍目的。西方外交实体,如大使馆和外交部,占已知诺贝尔受害者的大多数。然而,几家 IT 公司也报告说,他们已成为 Nobelium 运营商在 2023 年底和 2024 年的目标。
ANSSI发布的报告基于法国机构收集的要素,其国家合作伙伴(称为C4成员)共享的证据以及公开可用的报告。该文件警告说,Nobelium针对法国公共和外交实体进行的网络钓鱼活动旨在收集战略情报。
“Nobelium 的特点是使用特定的代码、战术、技术和程序。大多数针对外交实体的 Nobelium 活动都使用属于外交人员的受损合法电子邮件帐户,并针对外交机构、大使馆和领事馆进行网络钓鱼活动。“这些活动也被公开描述为一场名为”外交轨道飞行器“的运动。
攻击者伪造诱饵文件以外交人员为目标,试图交付他们的定制装载机,以投放公共开发后工具,如 Cobalt Strike 或 Brute Ratel C4。这些工具允许攻击者访问受害者的网络、执行横向移动、丢弃额外的有效载荷、保持持久性并泄露有价值的情报。
该机构证实,几家 IT 公司也报告说在 2023 年底和 2024 年成为 Nobelium 的目标。
报告继续说:“法国公共组织曾多次成为外国机构发送的网络钓鱼电子邮件的目标,这些电子邮件以前被Nobelium的运营商入侵。“从 2021 年 2 月到 5 月,Nobelium 运营商利用属于法国文化部和国家领土凝聚力局 (ANCT) 的受损电子邮件帐户进行了多次网络钓鱼活动3,并发送了一个名为”战略审查“的附件。”
2022 年 3 月,欧洲驻南非大使馆收到一封冒充法国大使馆的网络钓鱼电子邮件,宣布在恐怖袭击后关闭。攻击者从一名法国外交官的受损帐户发送了这封电子邮件。2022 年 4 月和 5 月,Nobelium 网络钓鱼邮件到达了法国外交部的数十个电子邮件地址。威胁行为者使用的主题包括关闭乌克兰大使馆或与葡萄牙大使会面。
2023 年 5 月,Nobelium 针对包括法国大使馆在内的几个欧洲驻基辅大使馆发起了网络钓鱼活动,其中包括一封关于“待售外交汽车”的电子邮件。ANSSI还报告说,试图破坏法国驻罗马尼亚大使馆的企图失败了。
“在最近地缘政治紧张局势的背景下,特别是在欧洲,与俄罗斯侵略乌克兰有关的地缘政治紧张局势的背景下,ANSSI 观察到与 Nobelium 相关的高水平活动。诺贝尔针对政府和外交实体的活动涉及国家安全问题,危及法国和欧洲的外交利益。Nobelium运营商以IT和网络安全实体为间谍目的,可能会加强其攻击能力及其所代表的威胁,“该报告总结道,该报告还提供了妥协的指标。“随着时间的推移,Nobelium 的技术、策略和程序基本保持不变。”
原文始发于微信公众号(黑猫安全):与俄罗斯有联系的APT NOBELIUM针对法国外交实体
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论