Специалисты по кибербезопасности раскрыли новую командную инфраструктуру (C2), которую связывают с группировкой APT29, также известной как Cozy Bear. Серверы активно раздавали зловред WellMess в рамках продолжающейся кампании атак.
По данным подразделения RiskIQ (принадлежит Microsoft), удалось обнаружить более 30 управляющих серверов. В отчёте, переданном изданию The Hacker News, аналитики связывают эту инфраструктуру с APT29 — так исследователи обозначают операторов, которых относят к российской Службе внешней разведки (СВР).
Кого считают причастным
Именно APT29 приписывают организацию масштабной атаки на цепочку поставок через SolarWinds, о которой стало известно в конце 2020 года. Весной 2021-го власти Великобритании и США официально возложили ответственность за эти вторжения на Россию.
В сообществе безопасности активность этой группы отслеживают под разными кодовыми именами — из-за отличий в тактиках, техниках и процедурах (TTP) от уже известных профилей атакующих:
- UNC2452 (FireEye);
- Nobelium (Microsoft);
- SolarStorm (Unit 42);
- StellarParticle (Crowdstrike);
- Dark Halo (Volexity);
- Iron Ritual (Secureworks).
Что известно о WellMess
Зловред WellMess (он же WellMail) впервые описал японский центр реагирования JPCERT/CC ещё в 2018 году. Позже его применяли в шпионских кампаниях: злоумышленники пытались похитить интеллектуальную собственность у организаций, занятых исследованиями COVID-19 и разработкой вакцин в Великобритании, США и Канаде.
«Группа использует различные инструменты и методы, чтобы преимущественно атаковать государственные, дипломатические, аналитические, медицинские и энергетические цели ради получения разведданных», — отмечал Национальный центр кибербезопасности Великобритании (NCSC) в бюллетене от июля 2020 года.
Как вышли на серверы
Расследование в RiskIQ началось после публичного раскрытия информации о новом C2-сервере WellMess 11 июня. Оно привело к обнаружению кластера как минимум из 30 активных управляющих серверов. Считается, что один из них работал ещё с 9 октября 2020 года, хотя как именно используются эти серверы и кто был их целью — пока неясно.
Это уже не первый случай, когда RiskIQ выявляет командную инфраструктуру, связанную с атакой на SolarWinds. В апреле компания нашла дополнительный набор из 18 серверов, которые, с высокой вероятностью, обменивались данными с целевыми полезными нагрузками Cobalt Strike, доставленными через зловреды TEARDROP и RAINDROP.
«Команда Team Atlas в RiskIQ с высокой уверенностью оценивает, что эти IP-адреса и сертификаты активно используются APT29, — заявил Кевин Ливелли, директор по анализу угроз RiskIQ. — Нам не удалось найти малварь, которая обращалась бы к этой инфраструктуре, но мы подозреваем, что она, скорее всего, похожа на ранее выявленные образцы».
Источник: The Hacker News.