APT29服务器列表被曝光

近日，RiskIQ公布了俄罗斯SVR间谍机构（又名APT29）窃取西方知识产权活动使用的30台服务器的详细信息。

据RiskIQ称，APT29正在积极传播恶意软件（WellMess、WellMail），这些恶意软件以前曾用于针对英国、美国和加拿大 COVID-19 研究的间谍活动”。

“在撰写本文时，Atlas 团队非常自信地评估这些 IP 地址和证书正在被 APT29 积极使用，”RiskIQ 在其博客文章中说。“我们无法找到与此基础设施通信的任何恶意软件，但我们怀疑它可能与之前识别的样本相似。”

此前，APT29与 WellMess 恶意软件有关，随着各国竞相开发COVID-19 有效疫苗，该恶意软件已于2020 年初针对西方医学科学机构进行部署。

在RiskIQ披露这 30 台服务器的 IP 地址及其 SSL 证书的详细信息之前，美国信息安全领导机构CISA曾于 4 月份向全世界详细说公布APT29的部署内容和来源，并提供了规避建议。该公司还强调，早在 2018 年，日本 CERT 就发现 WellMess是一种针对 Windows 和 Linux 的新型恶意软件。

自6 月广为人知的拜登 – 普京峰会（会上拜登要求俄罗斯国家黑客收敛行为）以来，APT29似乎并没有放缓，GCHQ 分支还在11 月向全国性报纸通报了他们正在反击 APT29，后者不断努力闯入英国研究机构，GCHQ暗示他们正在部署一种针对俄罗斯人的加密恶意软件（没有赎金的勒索软件）。