俄罗斯黑客组织APT29与网络间谍活动的联系

关键要点

• APT29（又称Cozy Bear和Nobelium） 是俄罗斯国家支持的黑客组织。
• 他们被指控发起针对北约和欧盟国家 的广泛网络间谍活动。
• 这些攻击主要通过鱼叉式钓鱼邮件 来实施，目标包括欧盟的外交实体和外国事务部 。
• 使用恶意附件传播EnvyScout 工具，进而部署QUARTERRIG 、SNOWYAMBER 和Cobalt Strike Beacon HALFRIG 等恶意软件。

根据波兰军方反情报局和计算机应急响应小组的报告，APT29已经与一项针对北约和欧盟国家的持续网络间谍活动联系在一起。根据BleepingComputer的报道，欧盟各国的外交机构和外国事务部遭遇了伪装成欧洲大使馆的鱼叉式钓鱼邮件 的攻击。这类邮件包含恶意附件，这些附件帮助传播EnvyScout 下载器，随后允许更进一步的恶意软件下载，即QUARTERRIG 和SNOWYAMBER 下载器及其Cobalt Strike Beacon 的启动器HALFRIG 。

如果被感染的工作站通过了手动验证，那么上述下载器将被用来交付并启动商业工具COBALT STRIKE 或BRUTE RATEL 。而HALFRIG则是所谓的加载器，其中包含了COBALT STRIKE有效载荷并能自动运行。

此外，APT29还曾被报道策划针对北约国家的Microsoft 365 账户进行的钓鱼攻击。

在此背景下，各国的网络安全机构需要加强防范措施，以应对不断升级的网络威胁。