专家发现与 WellMess 恶意软件相关的多个 C&C 服务器

网络安全研究人员周五揭露了属于俄罗斯威胁参与者的新命令和控制 (C2) 基础设施，被称为 APT29，又名 Cozy Bear，已被发现积极为 WellMess 恶意软件提供服务，作为正在进行的攻击活动的一部分。

微软拥有的网络安全子公司 RiskIQ在与黑客新闻分享的一份报告中表示，已经发现了 30 多台由俄罗斯外国情报机构运营的 C2 服务器。

APT29 是分配给为俄罗斯外国情报局 (SVR) 工作的政府特工的绰号，据信是去年年底曝光的大规模 SolarWinds 供应链攻击的幕后策划者，英国和美国政府正式阻止了入侵今年 4 月早些时候在俄罗斯。

网络安全社区正在以各种代号跟踪该活动，包括 UNC2452 (FireEye)、Nobelium (Microsoft)、SolarStorm (Unit 42)、StellarParticle (Crowdstrike)、Dark Halo (Volexity) 和 Iron Ritual (Secureworks)，引用了不同之处攻击者采用的战术、技术和程序 (TTP) 以及已知的攻击者配置文件，计算 APT29。

WellMess（又名 WellMail）于 2018 年首次被日本的JPCERT/CC 发现，此前曾部署在威胁行为者开展的间谍活动中，目的是从参与英国、美国和美国的 COVID-19 研究和疫苗开发的多个组织掠夺知识产权。加拿大。

英国国家网络安全中心 (NCSC)在 2020 年 7 月发布的一份咨询报告中指出： “该组织使用各种工具和技术，主要针对政府、外交、智库、医疗保健和能源目标以获取情报。”

RiskIQ 表示，在 6 月 11 日公开披露有关新 WellMess C2 服务器的信息后，它开始调查 APT29 的攻击基础设施，导致发现不少于 30 个活动 C2 服务器的集群。据信其中一台服务器早在 2020 年 10 月 9 日就处于活动状态，但尚不清楚这些服务器的使用方式或目标是谁。

这不是 RiskIQ 第一次确定与 SolarWinds 黑客相关的命令和控制足迹。4 月，它发现了另外一组 18 台服务器，它们很有可能与通过攻击中部署的 TEARDROP 和 RAINDROP 恶意软件传送的目标辅助 Cobalt Strike 有效载荷进行通信。

“RiskIQ 的 Team Atlas 高度自信地评估了 APT29 正在积极使用这些 IP 地址和证书，”RiskIQ 威胁情报总监 Kevin Livelli 说。“我们无法找到与此基础设施通信的任何恶意软件，但我们怀疑它可能与之前识别的样本相似。”