法国信息安全机构 ANSSI 报告称,与俄罗斯有关的APT组织Nobelium是针对法国外交机构的一系列网络攻击的幕后黑手。
法国机构将这些攻击与网络间谍组织Nobelium(又名 APT29、 SVR 组织、 Cozy Bear、Midnight Blizzard、 BlueBravo和 The Dukes )联系起来,但 ANSSI 将这些组织划分为不同的威胁集群,其中包括一个名为 Dark Halo 的组织,该组织对 2020 年的SolarWinds攻击负有责任。
2020 年 10 月,针对高价值目标发动攻击,很可能是出于间谍目的。西方外交实体,如大使馆和外交部,占 Nobelium 已知受害者的大多数。然而,几家 IT 公司也报告说,他们在 2023 年底和 2024 年成为 Nobelium 运营商的目标。
ANSSI 发布的这份报告基于法国机构收集的信息、其国家合作伙伴(称为 C4 成员)分享的证据以及公开的报告。该文件警告称,Nobelium 针对法国公众和外交实体开展了网络钓鱼活动,目的是收集战略情报。
“Nobelium 的特点是使用特定的代码、策略、技术和程序。大多数针对外交实体的 Nobelium 活动都使用外交人员的被盗合法电子邮件账户,并针对外交机构、大使馆和领事馆进行网络钓鱼活动。”ANSSI 发布的报告写道。“这些活动也被公开描述为名为‘外交轨道’的活动。”
攻击者伪造诱饵文件以针对外交人员,试图提供其自定义加载程序以投放公开的后利用工具,例如Cobalt Strike或 Brute Ratel C4。这些工具允许攻击者访问受害者的网络、执行横向移动、投放额外的有效载荷、保持持久性并窃取有价值的情报。
该机构证实,多家 IT 公司也报告称,它们将在 2023 年底和 2024 年成为 Nobelium 攻击的目标。
报告中写道:“法国公共组织多次成为外国机构发送的钓鱼邮件的目标,这些机构此前已被 Nobelium 的运营商入侵。”“从 2021 年 2 月到 5 月,Nobelium 运营商利用法国文化部和国家领土凝聚力局 (ANCT) 的被入侵电子邮件账户,进行了多次钓鱼活动,发送了一个名为‘战略评估’的附件。”
2022 年 3 月,驻南非的欧洲大使馆收到了一封冒充法国大使馆的钓鱼邮件,称该大使馆在遭受恐怖袭击后关闭。攻击者从一名法国外交官的被盗账户发送了这封电子邮件。2022 年 4 月和 5 月,Nobelium 钓鱼邮件到达了法国外交部数十个电子邮件地址。攻击者使用了诸如乌克兰大使馆关闭或与葡萄牙大使会面等主题。
2023 年 5 月,Nobelium 针对基辅的几个欧洲大使馆(包括法国大使馆)发起了网络钓鱼活动,其中涉及一封有关“外交使馆车辆出售”的电子邮件。ANSSI 还报告了一次入侵法国驻罗马尼亚大使馆的未遂企图。
“在最近地缘政治紧张的背景下,尤其是欧洲,由于俄罗斯侵略乌克兰,ANSSI 观察到与 Nobelium 相关的活动水平很高。Nobelium 针对政府和外交实体的活动代表了国家安全问题,并危及法国和欧洲的外交利益。”报告总结道,并提供了入侵检测指标。“Nobelium 的技术、策略和程序随着时间的推移基本保持不变。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/OqhStsiavHV_2bCHE_PRNQ
暂无评论内容