Эксперты выявили новую C&C-инфраструктуру APT29

Эксперты принадлежащей Microsoft ИБ-компании RiskIQ выявили новую C&C-инфраструктуру, использующуюся нашумевшей APT-группой APT29 (она же Cozy Bear) и активно распространяющую вредоносное ПО WellMess в рамках текущей вредоносной кампании.

В общей сложности специалисты обнаружили более тридцати серверов, использующихся APT29, которая является главным подозреваемым в громких атаках на цепочку поставок SolarWinds в прошлом году.

Впервые обнаруженное в 2018 году японской JPCERT/CC вредоносное ПО WellMess (другое название WellMail) ранее использовалось в шпионских кампаниях, целью которых являлось похищение интеллектуальной собственности у различных организаций, в том числе занимающихся разработкой вакцин против COVID-19, в Великобритании, США и Канаде.

Специалисты RiskIQ начали расследование в отношении инфраструктуры APT29 после сообщения об обнаруженном 11 июня C&C-сервера WellMess и в результате выявили целый кластер серверов. Один из серверов был активен с 9 октября 2020 года, однако непонятно, ни как эти серверы использовались, ни кто был жертвой кибератак.

Это не первый раз, когда RiskIQ удалось выявить части C&C-инфраструктуры, связанные с хакерами, взломавшие SolarWinds. В апреле исследователи обнаружили дополнительный кластер из 18 серверов, которые, вероятнее всего, коммуницировали со вторичной полезной
нагрузкой Cobalt Strike, доставляемой с помощью вредоносного ПО TEARDROP и RAINDROP. Эксперты с большой уверенностью связали обнаруженные IP-адреса с APT29. Им не удалось выявить какое-либо вредоносное ПО, связывающееся с этими серверами, но подозревают, что оно похожее образцы вредоносного ПО, обнаруженного ранее.