फरवरी 2024 के अंत में, मैंडिएंट ने APT29 की पहचान की - एक रूसी संघ समर्थित खतरा समूह जो कई सरकारों द्वारा रूसी विदेशी खुफिया सेवा (एसवीआर) से जुड़ा हुआ है - जो जर्मन राजनीतिक दलों को लक्षित करते हुए एक फ़िशिंग अभियान चलाता था।
29 से पहले के APT2021 संचालन के अनुरूप, इस ऑपरेशन ने APT29 के मुख्य ROOTSAW (जिसे EnvyScout के रूप में भी जाना जाता है) पेलोड का लाभ उठाते हुए एक नया बैकडोर वैरिएंट दिया, जिसे WINELOADER के नाम से जाना जाता है। यह गतिविधि APT29 द्वारा सरकारों, विदेशी दूतावासों और अन्य राजनयिक मिशनों को लक्षित करने के विशिष्ट लक्ष्य से हटकर है और यह पहली बार है कि मैंडिएंट ने राजनीतिक दलों में इस APT29 उपसमूह के परिचालन हित की पहचान की है।
इसके अतिरिक्त, जबकि APT29 ने पहले जर्मन सरकारी संगठनों के लोगो वाले चारा दस्तावेजों का उपयोग किया है, यह पहला उदाहरण है जिसमें समूह ने जर्मन भाषा की चारा सामग्री का उपयोग किया है - दो ऑपरेशनों के अलग-अलग दर्शकों का संभावित परिणाम। पीड़ितों को भेजे गए फ़िशिंग ईमेल को रात्रिभोज का निमंत्रण बताया गया और उन पर क्रिश्चियन डेमोक्रेटिक यूनियन (सीडीयू) का लोगो लगा हुआ था। जर्मन भाषा के चारा दस्तावेज़ में एक फ़िशिंग लिंक होता है जो पीड़ितों को एक दुर्भावनापूर्ण ज़िप फ़ाइल तक ले जाता है जिसमें अभिनेताओं द्वारा नियंत्रित एक समझौता वेबसाइट पर होस्ट किया गया ROOTSAW ड्रॉपर होता है। रूटसॉ ने दूसरे चरण में एक सीडीयू-थीम वाला डिकॉय दस्तावेज़ और अगले चरण में एक वाइनलोडर पेलोड वितरित किया।
Mandiant.com पर अधिक
ग्राहक के बारे में मैंडिएंट गतिशील साइबर रक्षा, खतरे की खुफिया जानकारी और घटना की प्रतिक्रिया में एक मान्यता प्राप्त नेता है। साइबर फ्रंटलाइन पर दशकों के अनुभव के साथ, Mandiant संगठनों को आत्मविश्वास से और सक्रिय रूप से साइबर खतरों से बचाव करने और हमलों का जवाब देने में मदद करता है। मैंडियंट अब Google क्लाउड का हिस्सा है।
विषय से संबंधित लेख