天创培训:您身边的信息安全培训专家!
开班计划
2020年6月CISP直播班
主讲老师   张老师、王老师等
开课时间   6月
培训方式   网络课程
授课天次   培训5天+考试半天
上课时间   6月
课程介绍 在线报名
CISP-PTE渗透测试工程师6月周末直播班开班通知
主讲老师   张老师、王老师等
开课时间   6月
培训方式   网络课程
授课天次   培训+考试
上课时间   6月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

俄罗斯黑客针对新冠疫苗研究组织的网络攻击活动

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2020-07-17  关键词:俄罗斯,黑客,新冠疫苗

2020年7月16日,美国网络安全和基础设施安全局(CISA),英国国家网络安全中心(NCSC),加拿大通信安全机构(CSE)和美国国家安全局(NSA)发布了一份联合安全分析报告。

俄罗斯,黑客,新冠疫苗

报告指出,名为APT29的俄罗斯黑客组织正在针对美国,英国和加拿大的新冠研究和疫苗相关的恶意网络活动。该组织使用各种工具和技术来针对参与新冠研究和疫苗开发的组织。工具包括SOREFANG,WELLMESS和WELLMAIL恶意软件。

报告指出,该组织使用了多个公开漏洞对存在漏洞的系统进行扫描和利用,目的是获取凭证。

在针对新冠疫苗研发的近期攻击中,该组织针对目标组织拥有的特定外部IP地址进行了基本漏洞扫描。然后,该小组针对发现的脆弱服务部署了公共的漏洞利用程序。

CVE-2019-19781 Citrix

CVE-2019-11510 Pulse Secure

CVE-2018-13379 FortiGate

CVE-2019-9670 Zimbra

该组织还使用钓鱼邮件来获取目标组织的互联网登录页面的身份验证凭据。当使用被盗凭据时,参与者可能会使用匿名服务,如Tor。

报告中重点强调了WellMess木马,该木马此前被日本CERT首次曝光过。

俄罗斯,黑客,新冠疫苗

而值得注意的是,说到WellMess这个木马,是否会有些熟悉味道?

在今年上半年,我国某款著名VPN被黑客组织利用漏洞攻击后,释放的木马实际上与该报告末的规则如出一辙。

俄罗斯,黑客,新冠疫苗

这在他们的报告里面也提到了。


俄罗斯,黑客,新冠疫苗


因此,都要注意了。

关于WellMess的攻击为何归因于APT29的攻击,报告没有解释,因为他们开头就来了几个肯定词,感觉无法反驳的样子。

俄罗斯,黑客,新冠疫苗

报告还提到了一种名为WellMail的恶意软件,是一种轻量级工具,旨在运行命令或脚本,并将结果发送到硬编码的命令和控制(C2)服务器。

更多详情请自行下载报告查看:

https://github.com/blackorbird/APT_REPORT/blob/master/International%20Strategic/Russia/Advisory-APT29-targets-COVID-19-vaccine-development.pdf

此外,报告中还发布了大量的攻击者网络资产和木马规则,可以留存排查一二。

俄罗斯,黑客,新冠疫苗


同时,在报告发布不久,美国网络司令部也将APT29的恶意软件上传至Virustotal,以供安全分析人员参考。俄罗斯,黑客,新冠疫苗
(来源:安全内参)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000