Исследователи кибербезопасности разоблачили новую инфраструктуру управления и контроля (C2), принадлежащую российской хакерской группировке APT29, также известной как Cozy Bear, которая использует вредоносное ПО WellMess в рамках продолжающейся кампании атаки.
Всего обнаружено более 30 серверов C2, находящихся в ведении российской внешней разведки, говорится в отчете RiskIQ, принадлежащей Microsoft компании кибербезопасности.
Сообщества кибербезопасности отслеживают деятельность российских хакеров под различными кодовыми названиями, включая UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) и Iron Ritual (Secureworks).
Впервые обнаруженное японской JPCERT в 2018 году, WellMess (также известное как WellMail) ранее использовалось в шпионских кампаниях, проводимых злоумышленником для хищения интеллектуальной собственности нескольких организаций. Все они участвовали в исследованиях COVID-19 и разработке вакцин в Великобритании, США и Канаде.
«Группа использует различные инструменты и методы, чтобы в основном нацеливаться на правительственные, дипломатические, аналитические центры, медицинские и энергетические цели с целью получения разведывательной информации», — утверждали представители Национального центра кибербезопасности Великобритании (NCSC) в 2020 году.
В RiskIQ заявили, что начали изучать инфраструктуру атаки APT29 после публичного раскрытия информации о новом сервере WellMess C2 11 июня. Это привело к обнаружению кластера из не менее 30 активных серверов C2. Считается, что один из них заработал 9 октября 2020 года, хотя неясно, как эти серверы используются и кто их цели.
Это не первый раз, когда RiskIQ обнаруживает следы управления, связанные с российскими хакерами. В апреле компания выявила кластер из 18 серверов, которые, вероятно, обменивались данными с целевыми вторичными полезными нагрузками Cobalt Strike, доставляемыми через вредоносные программы TEARDROP и RAINDROP. Они также использовались в атаках APT29.
В июле Cozy Bear заподозрили в атаке на компьютерные системы Республиканского национального комитета США с использованием программ-вымогателей. Группировку также связывали с атакой на системы Национального комитета Демократической партии в 2016 году и в атаке на цепочку поставок с участием ПО SolarWinds в 2020 году, когда были взломаны системы девяти правительственных агентств США.
