Experten decken mehrere C&C-Server auf, die mit WellMess-Malware verbunden sind

  • Cybersecurity-Forscher haben am Freitag eine neue Command-and-Control-Infrastruktur (C2) aufgedeckt, die zu dem russischen Bedrohungsakteur APT29 alias Cozy Bear gehört, der im Rahmen einer laufenden Angriffskampagne aktiv WellMess-Malware verbreitet hat.

    Mehr als 30 C2-Server, die vom russischen Auslandsgeheimdienst betrieben werden, wurden aufgedeckt, so die Microsoft-Tochtergesellschaft für Cybersicherheit RiskIQ in einem Bericht, der The Hacker News vorliegt.

    APT29, die Bezeichnung für Regierungsagenten, die für den russischen Auslandsgeheimdienst (SVR) arbeiten, wird als Drahtzieher des massiven Angriffs auf die Lieferkette von SolarWinds vermutet, der Ende letzten Jahres bekannt wurde. Die britische und die US-amerikanische Regierung machten Russland Anfang April offiziell für die Angriffe verantwortlich.

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    Die Aktivitäten werden von der Cybersecurity-Community unter verschiedenen Codenamen verfolgt, darunter UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) und Iron Ritual (Secureworks), wobei Unterschiede zwischen den vom Angreifer eingesetzten Taktiken, Techniken und Verfahren (TTPs) und den bekannten Angreiferprofilen, zu denen auch APT29 zählt, angeführt werden.

    WellMess (auch bekannt als WellMail) wurde erstmals 2018 vom japanischen JPCERT/CC identifiziert und wurde zuvor in Spionagekampagnen des Bedrohungsakteurs eingesetzt, um geistiges Eigentum von mehreren Organisationen zu erbeuten, die an der COVID-19-Forschung und Impfstoffentwicklung in Großbritannien, den USA und Kanada beteiligt sind.

    “Die Gruppe verwendet eine Vielzahl von Werkzeugen und Techniken, um vor allem Ziele in den Bereichen Regierung, Diplomatie, Denkfabriken, Gesundheitswesen und Energie auszuspionieren”, so das britische National Cyber Security Centre (NCSC) in einem im Juli 2020 veröffentlichten Bericht.

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    RiskIQ sagte, dass es seine Untersuchung der Angriffsinfrastruktur von APT29 nach der Veröffentlichung eines neuen WellMess C2-Servers am 11. Juni begann, was zur Entdeckung eines Clusters von nicht weniger als 30 aktiven C2-Servern führte. Einer der Server soll bereits am 9. Oktober 2020 aktiv gewesen sein, obwohl nicht klar ist, wie diese Server genutzt werden oder wer die Ziele sind.

    Dies ist nicht das erste Mal, dass RiskIQ den mit den SolarWinds-Hackern verbundenen Command-and-Control-Footprint identifiziert hat. Im April entdeckte RiskIQ mit hoher Wahrscheinlichkeit eine zusätzliche Gruppe von 18 Servern, die wahrscheinlich mit den sekundären Cobalt Strike-Nutzlasten kommunizierten, die über die bei den Angriffen eingesetzte TEARDROP- und RAINDROP-Malware verbreitet wurden.

    “Das Team Atlas von RiskIQ geht mit hoher Wahrscheinlichkeit davon aus, dass diese IP-Adressen und Zertifikate von APT29 aktiv genutzt werden”, sagte Kevin Livelli, RiskIQs Director of Threat Intelligence. “Wir konnten keine Malware ausfindig machen, die mit dieser Infrastruktur kommuniziert, aber wir vermuten, dass sie den zuvor identifizierten Mustern ähnlich ist.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com