Alla fine di febbraio 2024, Mandiant ha identificato APT29 – un gruppo minaccioso sostenuto dalla Federazione Russa collegato da diversi governi al Servizio di intelligence estero russo (SVR) – che ha condotto una campagna di phishing contro i partiti politici tedeschi.
Coerentemente con le operazioni di APT29 risalenti al 2021, questa operazione ha sfruttato il payload principale ROOTSAW di APT29 (noto anche come EnvyScout) per fornire una nuova variante backdoor nota come WINELOADER. Questa attività rappresenta un allontanamento dalla tipica presa di mira da parte di APT29 di governi, ambasciate straniere e altre missioni diplomatiche ed è la prima volta che Mandiant identifica l'interesse operativo di questo sottocluster APT29 nei partiti politici.
Inoltre, sebbene APT29 abbia già utilizzato documenti esca recanti il logo di organizzazioni governative tedesche, questo è il primo caso in cui il gruppo ha utilizzato contenuti esca in lingua tedesca - un possibile risultato del diverso pubblico delle due operazioni. Le e-mail di phishing inviate alle vittime si presentavano come inviti a cena e portavano il logo dell'Unione Cristiano-Democratica (CDU). Il documento esca in lingua tedesca contiene un collegamento di phishing che porta le vittime a un file ZIP dannoso contenente un dropper ROOTSAW ospitato su un sito Web compromesso controllato dagli autori. ROOTSAW ha consegnato un documento esca a tema CDU nella seconda fase e un payload WINELOADER nella fase successiva.
Altro su Mandiant.com
A proposito di clienti Mandiant è un leader riconosciuto nella difesa informatica dinamica, nell'intelligence sulle minacce e nella risposta agli incidenti. Con decenni di esperienza sul fronte informatico, Mandiant aiuta le organizzazioni a difendersi in modo sicuro e proattivo dalle minacce informatiche e a rispondere agli attacchi. Mandiant fa ora parte di Google Cloud.
Articoli relativi all'argomento