Диапазон интересов кибершпионов из APT29 оказался шире, чем считалось ранее.
Эксперты ИБ-компании Mandiant связали недавние кибератаки с использованием бэкдора WINELOADER с деятельностью хакерской группировки Midnight Blizzard (также известной как APT29, BlueBravo или Cozy Bear).
По данным исследователей, приблизительно 26 февраля этого года группировка провела фишинговую кампанию против немецких политических партий, разослав электронные письма с логотипом Христианско-демократического союза (CDU).
«Это первый случай, когда мы наблюдаем, чтобы APT29 атаковала политические партии, что может указывать на новую область интересов помимо традиционных целей группировки», — отмечают Люк Дженкинс и Дэн Блэк из Mandiant.
Как было отмечено выше, в этой зловредной кампании использовался бэкдор WINELOADER, впервые обнаруженный Zscaler в феврале этого года. Атаки начинались с фишинговых писем на немецком языке, выдаваемых за приглашения на званый ужин. Запуск вложения к письму в формате «.hta» вёл к загрузке и активации дроппера первой стадии под названием ROOTSAW (он же EnvyScout), который действует как канал доставки WINELOADER с удалённого сервера.
Исследователи отмечают сходство WINELOADER с другими вредоносными программами, связанными с APT29, что указывает на общего разработчика.
Несмотря на то, что вредонос был обнаружен и раскрыт только в прошлом месяце, по данным исследователей, он уже неоднократно применялся для атак на дипломатические миссии в Чехии, Германии, Индии, Италии, Латвии и Перу. Кампания кибершпионажа, распространяющая WINELOADER, как сообщается, активна минимум с июля прошлого года.
Данный инцидент демонстрирует, что современные хакерские группировки постоянно расширяют сферы своих интересов и совершенствуют методы атак. Угроза кибершпионажа сегодня затрагивает не только дипломатические и государственные структуры, но и политические партии, а также представителей гражданского общества.
Чтобы обезопасить важные данные от кражи, всем организациям, как правительственным, так и частным, необходимо серьёзно относиться к вопросам кибербезопасности, регулярно обновлять программное обеспечение, проводить обучение сотрудников и применять надёжные средства защиты от современных хакерских инструментов и тактик.
Code:
https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties
04-27-2025, 02:15 AM
Threaded Mode