2020年12月，总部位于德克萨斯州的IT监控管理平台 SolarWinds 遭到威胁行为组织 APT29(也被称为Nobelium、Cozy Bear和Midnight Blizzard)的攻击。该组织通过将恶意代码植入Orion（一款监控公司网络内各种组件的软件程序）软件程序成功入侵了该公司，随后发起了针对美国的大规模网络攻击。

当涉及到异常复杂的恶意软件攻击时，APT29 总是会被提及，而SolarWinds 的漏洞标志着威胁组织将持续进行恶意软件攻击。自从SolarWinds遭到攻击以来，APT也一直在对政府、国防、制造业和IT服务商们进行着攻击。在近期的攻击事件中，该组织通过利用着少有人知道的Windows功能，将目标瞄准了驻乌克兰的外交官们。以下为主要事件概述：

• 多年以来，俄罗斯黑客组织APT29参与了多项恶意软件攻击事件，而SolarWinds漏洞只是他们持续存在的开始。
• 2021年8月，APT29试图利用一个名为ProxyShell的Exchange漏洞集群(CVE-2021-31207, CVE-2021-34523, CVE-2021-34473)。
• 2021年10月，微软发布了关于APT29再次攻击全球IT服务商。该事件于2021年5月开始，目前确认已导致14起确认的泄密事件，波及范围包含 140家公司。
• 观察到APT29依赖于各种技术，包括密码喷射、API滥用、网络钓鱼和令牌盗窃，以获得凭证和对受害者系统的特权访问。
• 2022年，APT29与另一个“高度针对性”的恶意软件有关，该恶意软件能够持续访问受损环境。微软威胁情报团队将这一开命名为MagicWeb，并重申了APT29致力于开发和维护专用功能的承诺。
• 2022年，黑客组织APT29被发现利用了一个鲜为人知的Windows功能——凭据漫游(Credential Roaming)。这个漏洞是在对一个未指明的欧洲外交实体进行成功的网络钓鱼攻击后曝光的。
• APT29在2023年4月的间谍活动中使用之前未记录的恶意软件攻击北约和欧盟成员国的外交部门。波兰军事反情报机构和波兰CERT (CERT. pl)发现了这一活动，其中包括APT29向外交人员发送鱼叉式网络钓鱼电子邮件。

更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/2097/

消息来源：avertium，封面来自网络，译者：知道创宇404实验室翻译组。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。