Şubat 2024'ün sonlarında Mandiant, Alman siyasi partilerini hedef alan bir kimlik avı kampanyası yürüten, birden fazla hükümet tarafından Rusya Dış İstihbarat Servisi'ne (SVR) bağlı, Rusya Federasyonu destekli bir tehdit grubu olan APT29'u tespit etti.
29 yılına dayanan APT2021 operasyonlarıyla tutarlı olarak bu operasyon, WINELOADER olarak bilinen yeni bir arka kapı varyantı sunmak için APT29'un ana ROOTSAW (EnvyScout olarak da bilinir) yükünü kullandı. Bu faaliyet, APT29'un hükümetleri, yabancı büyükelçilikleri ve diğer diplomatik misyonları hedef almasından bir sapmayı temsil ediyor ve Mandiant, bu APT29 alt kümesinin siyasi partilere yönelik operasyonel ilgisini ilk kez tespit ediyor.
Ek olarak, APT29 daha önce Alman hükümet kuruluşlarının logosunu taşıyan yem belgelerini kullanmış olsa da bu, grubun Almanca yem içeriğini kullandığı ilk örnektir; bu, iki operasyonun farklı hedef kitlelerinin olası bir sonucudur. Kurbanlara gönderilen kimlik avı e-postalarının akşam yemeği daveti olduğu iddia ediliyordu ve üzerinde Hıristiyan Demokrat Birliği'nin (CDU) logosu bulunuyordu. Almanca dilindeki yem belgesi, kurbanları, aktörler tarafından kontrol edilen ele geçirilmiş bir web sitesinde barındırılan ROOTSAW damlatıcısını içeren kötü amaçlı bir ZIP dosyasına yönlendiren bir kimlik avı bağlantısı içeriyor. ROOTSAW, ikinci aşamada CDU temalı bir tuzak belgesi ve sonraki aşamada bir WINELOADER yükü teslim etti.
Mandiant.com'da daha fazlası
müşteriler hakkında Mandiant, dinamik siber savunma, tehdit istihbaratı ve olay müdahalesinde tanınmış bir liderdir. Siber cephede onlarca yıllık deneyimiyle Mandiant, kuruluşların siber tehditlere karşı güvenle ve proaktif bir şekilde savunma yapmasına ve saldırılara yanıt vermesine yardımcı olur. Mandiant artık Google Cloud'un bir parçasıdır.
Konuyla ilgili makaleler