2020年7月16日，美国网络安全和基础设施安全局(CISA)，英国国家网络安全中心(NCSC)，加拿大通信安全机构(CSE)和美国国家安全局(NSA)发布了一份联合安全分析报告。

报告指出，名为APT29的俄罗斯黑客组织正在针对美国，英国和加拿大的新冠研究和疫苗相关的恶意网络活动。该组织使用各种工具和技术来针对参与新冠研究和疫苗开发的组织。工具包括SOREFANG，WELLMESS和WELLMAIL恶意软件。

报告指出，该组织使用了多个公开漏洞对存在漏洞的系统进行扫描和利用，目的是获取凭证。在针对新冠疫苗研发的近期攻击中，该组织针对目标组织拥有的特定外部IP地址进行了基本漏洞扫描。然后，该小组针对发现的脆弱服务部署了公共的漏洞利用程序。

• CVE-2019-19781 Citrix
• CVE-2019-11510 Pulse Secure
• CVE-2018-13379 FortiGate
• CVE-2019-9670 Zimbra

该组织还使用钓鱼邮件来获取目标组织的互联网登录页面的身份验证凭据。当使用被盗凭据时，参与者可能会使用匿名服务，如Tor。

报告中重点强调了WellMess木马，该木马此前被日本CERT首次曝光过。

而值得注意的是，说到WellMess这个木马，是否会有些熟悉味道?在今年上半年，我国某款软件被黑客组织利用漏洞攻击后，释放的木马实际上与该报告末的规则如出一辙。这在他们的报告里面也提到了。

因此，都要注意了。

关于WellMess的攻击为何归因于APT29的攻击，报告没有解释，因为他们开头就来了几个肯定词，感觉无法反驳的样子。

报告还提到了一种名为WellMail的恶意软件，是一种轻量级工具，旨在运行命令或脚本，并将结果发送到硬编码的命令和控制(C2)服务器。

更多详情请自行下载报告查看：

https://github.com/blackorbird/APT_REPORT/blob/master/International%20Strategic/Russia/Advisory-APT29-targets-COVID-19-vaccine-development.pdf

此外，报告中还发布了大量的攻击者网络资产和木马规则，可以留存排查一二。

同时，在报告发布不久，美国网络司令部也将APT29的恶意软件上传至Virustotal，以供安全分析人员参考。