引言研究人员发现了30多台属于俄罗斯黑客组织APT29（又名Cozy Bear）的新的C2基础设施，并发现APT29组织正在积极为WellMess恶意软件提供服务。据信其中一台服务器早在2020年10月9日就处于活动状态，但目前尚不清楚这些服务器的使用方式以及目标。简况APT29是俄罗斯对外情报局（SVR）政府的威胁组织，据信是去年年底曝光的大规模solarwinds供应链袭击的攻击者，今年4月初，英国和美国政府正式将solarwinds入侵归咎于俄罗斯。网络安全界正在以各种代号跟踪该活动，包括 UNC2452 （FireEye）、Nobelium （微软）、SolarStorm (Unit 42)、StellarParticle (Crowdstrike)、Dark Halo (Volexity) 和 Iron Ritual (Secureworks)。WellMess恶意软件（又名 WellMail）于 2018 年首次被日本JPCERT/CC发现，此前曾被黑客在间谍活动中部署，以从参与英国、美国和加拿大 COVID-19 研究和疫苗开发的多个组织掠夺知识产权。仅在1个月前，美俄两国元首举行了首脑会议，拜登总统公开谴责俄罗斯黑客的行为。研究人员表示，尽管美国发出警告，俄罗斯SVR 仍在使用“WellMess”恶意软件。6 月 11 ，安全研究专家在Twitter尚披露了有关新的 WellMess C2 服务器的信息，如下图：随后，研究人员开始调查 APT29 的攻击基础设施，发现了超过 30 个活动 C2 服务器的集群，且这些服务器与WellMess恶意软件相关。其中一台服务器早在 2020 年 10 月 9 日就处于活动状态。虽然目前尚不清楚这些服务器的使用方式或目标是谁，但研究人员以高置信度认为， APT29组织目前仍在积极使用这些 IP 地址和证书。PS：每日更新整理国内外威胁情报快讯，帮助威胁研究人员了解及时跟踪相关威胁事件关注微信公众号：安恒威胁情报中心获取一手原创安全分析报告