No final de Fevereiro de 2024, a Mandiant identificou o APT29 – um grupo de ameaças apoiado pela Federação Russa e ligado por vários governos ao Serviço de Inteligência Estrangeiro Russo (SVR) – que executou uma campanha de phishing visando os partidos políticos alemães.
Consistente com as operações do APT29 que datam de 2021, esta operação aproveitou a carga útil principal ROOTSAW (também conhecida como EnvyScout) do APT29 para entregar uma nova variante de backdoor conhecida como WINELOADER. Esta atividade representa um afastamento do direcionamento típico do APT29 para governos, embaixadas estrangeiras e outras missões diplomáticas e é a primeira vez que a Mandiant identifica o interesse operacional deste subgrupo APT29 em partidos políticos.
Além disso, embora o APT29 já tenha utilizado documentos de isco com o logótipo de organizações governamentais alemãs, este é o primeiro caso em que o grupo utilizou conteúdo de isco em língua alemã - um possível resultado dos diferentes públicos das duas operações. Os e-mails de phishing enviados às vítimas pretendiam ser um convite para jantar e traziam o logotipo da União Democrata Cristã (CDU). O documento de isca em alemão contém um link de phishing que leva as vítimas a um arquivo ZIP malicioso contendo um conta-gotas ROOTSAW hospedado em um site comprometido controlado pelos atores. ROOTSAW entregou um documento chamariz com o tema CDU no segundo estágio e uma carga útil WINELOADER no próximo estágio.
Mais em Mandiant.com
Sobre clientes A Mandiant é uma líder reconhecida em defesa cibernética dinâmica, inteligência de ameaças e resposta a incidentes. Com décadas de experiência na linha de frente cibernética, a Mandiant ajuda as organizações a se defenderem com confiança e proatividade contra ameaças cibernéticas e a responderem a ataques. A Mandiant agora faz parte do Google Cloud.
Artigos relacionados ao tema