Задната врата WINELOADER, използвана при неотдавнашните кибератаки, насочени към дипломатически структури с фишинг примамки с вкус на вино, е дело на хакерска група, свързана с руската Служба за външно разузнаване (СВР), която е отговорна за пробива в SolarWinds и Microsoft.
Констатациите идват от Mandiant, според която Midnight Blizzard (известна още като APT29, BlueBravo или Cozy Bear) е използвала зловредния софтуер, за да атакува германски политически партии с фишинг имейли с логото на Християндемократическия съюз (ХДС) около 26 февруари 2024 г.
„Това е първият път, в който виждаме този клъстер на APT29 да се насочва към политически партии, което показва възможна област на нововъзникващ оперативен фокус отвъд типичното насочване към дипломатически мисии“, казват изследователите Люк Дженкинс и Дан Блек.
WINELOADER беше разкрит за първи път от Zscaler ThreatLabz миналия месец като част от кампания за кибершпионаж, за която се смята, че продължава поне от юли 2023 г. Тя приписва дейността на клъстер, наречен SPIKEDWINE.
Веригите за атаки използват фишинг имейли с примамливо съдържание на немски език, което се представя за покана за вечерен прием, за да подмамят получателите да кликнат върху фалшива връзка и да изтеглят измамен файл на HTML приложение (HTA), дропър от първи етап, наречен ROOTSAW (известен още като EnvyScout), който действа като канал за доставка на WINELOADER от отдалечен сървър.
„Примамливият документ на немски език съдържа фишинг връзка, насочваща жертвите към зловреден ZIP файл, съдържащ дропър ROOTSAW, хостван на контролиран компрометиран уебсайт“, казват изследователите. „ROOTSAW доставя примамлив документ на втори етап на тема CDU и полезен товар на следващ етап WINELOADER.“
WINELOADER, извикан чрез техника, наречена странично зареждане на DLL, с помощта на легитимния sqldumper.exe, е снабден със способности да се свързва със сървър, контролиран от извършителя, и да извлича допълнителни модули за изпълнение на компрометираните хостове.
Твърди се, че той има сходства с известни семейства зловреден софтуер на APT29 като BURNTBATTER, MUSKYBEAT и BEATDROP, което предполага, че е дело на общ разработчик.
WINELOADER, по данни на дъщерното дружество на Google Cloud, е бил използван и в операция, насочена срещу дипломатически структури в Чешката република, Германия, Индия, Италия, Латвия и Перу в края на януари 2024 г.
„ROOTSAW продължава да бъде централният компонент на усилията на APT29 за първоначален достъп за събиране на външнополитическа информация“, заявиха от компанията.
„Разширеното използване на зловредния софтуер на първия етап за насочване към германските политически партии е забележимо отклонение от типичния дипломатически фокус на този подклъстер на APT29 и почти сигурно отразява интереса на СВР към събиране на информация от политическите партии и други аспекти на гражданското общество, която би могла да подпомогне геополитическите интереси на Москва.“
Развитието на събитията идва в момент, когато германските прокурори обвиниха военен офицер на име Томас Х в шпионски престъпления, след като се твърди, че е бил хванат да шпионира в полза на руските разузнавателни служби и да предава неуточнена чувствителна информация. Той е бил арестуван през август 2023 г.
„От май 2023 г. той няколко пъти се е обръщал по собствена инициатива към руското генерално консулство в Бон и руското посолство в Берлин и е предлагал сътрудничество“, заявиха от Федералната прокуратура. „В един от случаите той е предал информация, която е получил в хода на професионалната си дейност, за да я препрати на руска разузнавателна служба.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.