Wireless Attacks

[Wireless Attacks][bsummary]

WHATSAPP

[WHATSAPP][twocolumns]

SISTEMA OPERACIONAL

[SISTEMA OPERACIONAL][bleft]

CURSOS

[CURSOS][grids]

Descobertos mais de 30 servidores C&C do APT29 russo vinculados a malware “WellMess”

Descobertos mais de 30 servidores C&C do APT29 russo vinculados a malware “WellMess”


Pesquisadores da RISKIQ descobriram mais de 30 comandos e infraestrutura de servidor de controle ativamente servindo malware conhecido como “WellMess / WellMail”.


Esses servidores C2 pertencem a hackers russos do grupo APT29, e a gangue foi identificada há quase um ano pelos governos do Reino Unido, dos Estados Unidos e do Canadá, emitindo um comunicado conjunto.


APT29 (YTTRIUM, THE DUKES,

Grupo COSY BEAR) que se acredita explicitamente estar associado aos Serviços de Inteligência Estrangeiros da Rússia (SVR) e ao malware usado anteriormente em campanhas de espionagem direcionadas à pesquisa COVID-19 no Reino Unido, EUA e Canadá.


Os servidores de comando e controle identificados estão ativamente servindo malware WellMess contra vítimas altamente visadas.

“A atividade descoberta foi notável dado o contexto em que apareceu, vindo na esteira de uma reprovação pública de hackeamento na Rússia pelo presidente Joe Biden em uma recente cúpula com o presidente Vladimir Putin.” RISKIQ disse.


‘WellMess’ é um malware personalizado usado para atingir o número de vítimas globalmente,

e o grupo está usando principalmente os exploits publicados recentemente para ganhar pontos de apoio iniciais.


Um tweet mostra o caminho

A investigação dos pesquisadores começa com o Tweet que contém um indicador sobre o servidor de comando e controle e o certificado assinado.


Uma análise mais aprofundada leva à descoberta de vários endereços IP e certificados adicionais,

também revelou que o servidor C2 associado ao APT29 e WellMess.

A infraestrutura C2 identificada é ativamente usada pelo APT 29. Também foram encontrados novos endereços IP que residem nas mesmas redes.

“Com base nessa descoberta, a equipe Atlas da RiskIQ foi então capaz de aproveitar o Internet Intelligence Graph da RiskIQ para vincular os seguintes certificados SSL e endereços IP à infraestrutura APT29 C2 com alta confiança.”

Quando os pesquisadores examinaram os banners retornados de solicitações HTTP feitas aos servidores, eles foram capazes de encontrar um grupo totalmente separado de certificados maliciosos e endereços IP.




Nenhum comentário :