Araştırmacılar, Rusya'nın Dış İstihbarat Servisi'ne (SVR) bağlı kötü şöhretli bir hack grubunun ilk kez Almanya'daki siyasi partileri hedeflediğini ve odaklarını diplomatik görevlerin tipik hedeflemesinden uzaklaştırdığını uyarıyorlar.
Kimlik avı saldırıları, tehdit aktörlerinin güvenliği ihlal edilmiş cihazlara ve ağlara uzaktan erişim kazanmasına izin veren Wineloader adlı bir arka kapı kötü amaçlı yazılım dağıtmak için tasarlanmıştır.
Apt29 (gece yarısı Blizzard, Nobelium, Cozy Bear olarak da bilinir), Rusya Dış İstihbarat Servisi'nin (SVR) bir parçası olduğuna inanılan bir Rus casusluk hackleme grubudur
Hacking grubu, Aralık 2020'de meşhur Solarwinds tedarik zinciri saldırısı da dahil olmak üzere birçok siber saldırıya bağlandı.
Tehdit aktörleri, bu yıllar boyunca, tipik olarak hükümetleri, elçilikleri, üst düzey yetkilileri ve çeşitli kuruluşları hedefleyen çeşitli kimlik avı taktikleri veya tedarik zinciri uzlaşmasını hedefleyen aktif kalmıştır.
APT29'un son odağı bulut hizmetleri, Microsoft sistemlerini ihlal etmek ve değişim hesaplarından verileri çalmak ve Hewlett Packard Enterprise tarafından kullanılan MS Office 365 e -posta ortamından ödün vermektir.
Maniant araştırmacıları, APT29'un Şubat 2024'ün sonundan bu yana Alman siyasi partilerine karşı bir kimlik avı kampanyası yürüttüğünü söylüyor. Bu, hackleme grubunun ilk kez siyasi partileri hedeflediği için, hack grubunun operasyonel odağında önemli bir değişime işaret ediyor.
Bilgisayar korsanları şimdi, Almanya'da büyük bir siyasi parti olan ve şu anda Federal Parlamento'nun (Federasyon) en büyük ikinci partisi olan Hıristiyan Demokratik Birliği (CDU) etrafında temalı bir yem olan kimlik avı e -postaları kullanıyor.
Mantiant tarafından görülen kimlik avı e -postaları, CDU tarafından 'rootaw' kötü amaçlı yazılım damlasını içeren bir fermuar arşivi bırakan harici bir sayfaya bir bağlantı yerleştiren akşam yemeği davetiyeleri gibi davranıyor.
Yürütüldüğünde, RootSaw kötü amaçlı yazılım kurbanın bilgisayarında 'Wineloader' adlı bir arka kapı indirir ve yürütür.
Wineloader kötü amaçlı yazılım, daha önce Şubat ayında Zscaler tarafından keşfedildi ve bir şarap tatma etkinliği için diplomatlara davet ediyormuş gibi kimlik avı saldırılarında konuşlandırıldı.
Wineloader Backdoor, ortak bir geliştirici öneren 'Burnbatter', 'MyskyBeat' ve 'Beatdrop' gibi geçmiş APT29 saldırılarında dağıtılan diğer kötü amaçlı yazılım varyantları ile çeşitli benzerliklere sahiptir.
Bununla birlikte, kötü amaçlı yazılım modüler ve önceki varyantlardan daha özelleştirilmiş, hazır yükleyiciler kullanmaz ve komut ve kontrol (C2) sunucusu ile veri alışverişi için şifreli bir iletişim kanalı oluşturur.
Mantiant'ın analistleri ilk olarak Wineloader'ı Ocak 2024'ün sonlarında Çek Cumhuriyeti, Almanya, Hindistan, İtalya, Letonya ve Peru diplomatlarını hedefleyen bir operasyonda gördü. Bu nedenle, belirli bir varyant, son zamanlarda APT29 için tercih edilen kötü amaçlı yazılımlar gibi görünmektedir.
Tespitten kaçınmak için Wineloader, RC4 kullanılarak şifre çözülür ve meşru bir Windows yürütülebilir dosyasını (sqldumper.exe) kötüye kullanarak DLL yan yükleme yoluyla doğrudan belleğe yüklenir.
Wineloader, kurbanın kullanıcı adını, cihaz adını, süreç adını ve diğer bilgileri C2'ye sistemin profiline yardımcı olmak için gönderir.
C2, kalıcılık oluşturmak gibi belirli görevleri yerine getirmek için dinamik olarak yüklenebilen modüllerin yürütülmesini sipariş edebilir.
Mantiant herhangi bir modül içermese de, Wineloader'ın modüler doğasının APT29'un misyonuna uygun olarak çok çeşitli casusluk faaliyetleri yürütmesine izin verdiği varsayılmaktadır.
APT29, ileri teknik yeterliliğini ve hedeflenen varlıklara sızmak ve casusluk için araçlar geliştirmek için sürekli çabalarını göstermeye devam ediyor.
Siyasi partilere geçiş, muhtemelen daha geniş jeopolitik hedefleri yansıtan siyasi süreçleri etkileme veya izleme niyetini önermektedir.
Kuzey Kore, mühendislik verilerini çalmak için iki Güney Koreli çip firmasını hackliyor
ABD İranlı Savunma Orgs Hacks için suçlamalar, bilgi için 10 milyon dolar sunuyor
Rus hackerlar bulut saldırılarına geçer, ABD ve müttefikler uyarıyor
Savunma sektörü tedarik zinciri saldırısına bağlı Kuzey Koreli hackerlar
FBI, ubiquiti yönlendiricilerini enfekte eden Rus moobot botnet'i bozar
Kaynak: Bleeping Computer