Търсене
Close this search box.

Задната врата WINELOADER, използвана при неотдавнашните кибератаки, насочени към дипломатически структури с фишинг примамки с вкус на вино, е дело на хакерска група, свързана с руската Служба за външно разузнаване (СВР), която е отговорна за пробива в SolarWinds и Microsoft.

Констатациите идват от Mandiant, според която Midnight Blizzard (известна още като APT29, BlueBravo или Cozy Bear) е използвала зловредния софтуер, за да атакува германски политически партии с фишинг имейли с логото на Християндемократическия съюз (ХДС) около 26 февруари 2024 г.

„Това е първият път, в който виждаме този клъстер на APT29 да се насочва към политически партии, което показва възможна област на нововъзникващ оперативен фокус отвъд типичното насочване към дипломатически мисии“, казват изследователите Люк Дженкинс и Дан Блек.

WINELOADER беше разкрит за първи път от Zscaler ThreatLabz миналия месец като част от кампания за кибершпионаж, за която се смята, че продължава поне от юли 2023 г. Тя приписва дейността на клъстер, наречен SPIKEDWINE.

Веригите за атаки използват фишинг имейли с примамливо съдържание на немски език, което се представя за покана за вечерен прием, за да подмамят получателите да кликнат върху фалшива връзка и да изтеглят измамен файл на HTML приложение (HTA), дропър от първи етап, наречен ROOTSAW (известен още като EnvyScout), който действа като канал за доставка на WINELOADER от отдалечен сървър.

„Примамливият документ на немски език съдържа фишинг връзка, насочваща жертвите към зловреден ZIP файл, съдържащ дропър ROOTSAW, хостван на контролиран  компрометиран уебсайт“, казват изследователите. „ROOTSAW доставя примамлив документ на втори етап на тема CDU и полезен товар на следващ етап WINELOADER.“

WINELOADER, извикан чрез техника, наречена странично зареждане на DLL, с помощта на легитимния sqldumper.exe, е снабден със способности да се свързва със сървър, контролиран от извършителя, и да извлича допълнителни модули за изпълнение на компрометираните хостове.

Твърди се, че той има сходства с известни семейства зловреден софтуер на APT29 като BURNTBATTER, MUSKYBEAT и BEATDROP, което предполага, че е дело на общ разработчик.

WINELOADER, по данни на дъщерното дружество на Google Cloud, е бил използван и в операция, насочена срещу дипломатически структури в Чешката република, Германия, Индия, Италия, Латвия и Перу в края на януари 2024 г.

„ROOTSAW продължава да бъде централният компонент на усилията на APT29 за първоначален достъп за събиране на външнополитическа информация“, заявиха от компанията.

„Разширеното използване на зловредния софтуер на първия етап за насочване към германските политически партии е забележимо отклонение от типичния дипломатически фокус на този подклъстер на APT29 и почти сигурно отразява интереса на СВР към събиране на информация от политическите партии и други аспекти на гражданското общество, която би могла да подпомогне геополитическите интереси на Москва.“

Развитието на събитията идва в момент, когато германските прокурори обвиниха военен офицер на име Томас Х в шпионски престъпления, след като се твърди, че е бил хванат да шпионира в полза на руските разузнавателни служби и да предава неуточнена чувствителна информация. Той е бил арестуван през август 2023 г.

„От май 2023 г. той няколко пъти се е обръщал по собствена инициатива към руското генерално консулство в Бон и руското посолство в Берлин и е предлагал сътрудничество“, заявиха от Федералната прокуратура. „В един от случаите той е предал информация, която е получил в хода на професионалната си дейност, за да я препрати на руска разузнавателна служба.“

 

Източник: The Hacker News

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
30 ноември 2024

Интервю с Anonymous

В случая с хакера, известен като SPYDIRBYTE, може да се каже, че зл...
29 ноември 2024

Бъдещето на безсървърната сигурност през 2025 г

Безсървърните среди, използващи услуги като AWS Lambda, предлагат н...
Бъдете социални
Още по темата
28/11/2024

T-Mobile споделя повече инф...

В сряда T-Mobile сподели допълнителна информация...
25/11/2024

Атака на най-близкия съсед

Руска група за кибершпионаж е хваната...
25/11/2024

Руска група за кибершпионаж...

Свързана с Русия група за кибершпионаж...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!