Търсене
Close this search box.

Русия атакува немските политически партии с WINELOADER

Задната врата WINELOADER, използвана при неотдавнашните кибератаки, насочени към дипломатически структури с фишинг примамки с вкус на вино, е дело на хакерска група, свързана с руската Служба за външно разузнаване (СВР), която е отговорна за пробива в SolarWinds и Microsoft.

Констатациите идват от Mandiant, според която Midnight Blizzard (известна още като APT29, BlueBravo или Cozy Bear) е използвала зловредния софтуер, за да атакува германски политически партии с фишинг имейли с логото на Християндемократическия съюз (ХДС) около 26 февруари 2024 г.

„Това е първият път, в който виждаме този клъстер на APT29 да се насочва към политически партии, което показва възможна област на нововъзникващ оперативен фокус отвъд типичното насочване към дипломатически мисии“, казват изследователите Люк Дженкинс и Дан Блек.

WINELOADER беше разкрит за първи път от Zscaler ThreatLabz миналия месец като част от кампания за кибершпионаж, за която се смята, че продължава поне от юли 2023 г. Тя приписва дейността на клъстер, наречен SPIKEDWINE.

Веригите за атаки използват фишинг имейли с примамливо съдържание на немски език, което се представя за покана за вечерен прием, за да подмамят получателите да кликнат върху фалшива връзка и да изтеглят измамен файл на HTML приложение (HTA), дропър от първи етап, наречен ROOTSAW (известен още като EnvyScout), който действа като канал за доставка на WINELOADER от отдалечен сървър.

„Примамливият документ на немски език съдържа фишинг връзка, насочваща жертвите към зловреден ZIP файл, съдържащ дропър ROOTSAW, хостван на контролиран  компрометиран уебсайт“, казват изследователите. „ROOTSAW доставя примамлив документ на втори етап на тема CDU и полезен товар на следващ етап WINELOADER.“

WINELOADER, извикан чрез техника, наречена странично зареждане на DLL, с помощта на легитимния sqldumper.exe, е снабден със способности да се свързва със сървър, контролиран от извършителя, и да извлича допълнителни модули за изпълнение на компрометираните хостове.

Твърди се, че той има сходства с известни семейства зловреден софтуер на APT29 като BURNTBATTER, MUSKYBEAT и BEATDROP, което предполага, че е дело на общ разработчик.

WINELOADER, по данни на дъщерното дружество на Google Cloud, е бил използван и в операция, насочена срещу дипломатически структури в Чешката република, Германия, Индия, Италия, Латвия и Перу в края на януари 2024 г.

„ROOTSAW продължава да бъде централният компонент на усилията на APT29 за първоначален достъп за събиране на външнополитическа информация“, заявиха от компанията.

„Разширеното използване на зловредния софтуер на първия етап за насочване към германските политически партии е забележимо отклонение от типичния дипломатически фокус на този подклъстер на APT29 и почти сигурно отразява интереса на СВР към събиране на информация от политическите партии и други аспекти на гражданското общество, която би могла да подпомогне геополитическите интереси на Москва.“

Развитието на събитията идва в момент, когато германските прокурори обвиниха военен офицер на име Томас Х в шпионски престъпления, след като се твърди, че е бил хванат да шпионира в полза на руските разузнавателни служби и да предава неуточнена чувствителна информация. Той е бил арестуван през август 2023 г.

„От май 2023 г. той няколко пъти се е обръщал по собствена инициатива към руското генерално консулство в Бон и руското посолство в Берлин и е предлагал сътрудничество“, заявиха от Федералната прокуратура. „В един от случаите той е предал информация, която е получил в хода на професионалната си дейност, за да я препрати на руска разузнавателна служба.“

 

Източник: The Hacker News

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
Бъдете социални
Още по темата
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
30/03/2024

Свързаният със Северна Коре...

Свързаният със Северна Корея колектив, известен...
27/03/2024

И Финландия погна китайска...

Във вторник финландската полиция потвърди, че...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!