Наприкінці лютого 2024 року Mandiant виявив APT29 – підтримувану Російською Федерацією групу загроз, пов’язану з російською Службою зовнішньої розвідки (СВР) кількома урядами – яка проводила фішингову кампанію проти політичних партій Німеччини.
У відповідності до операцій APT29, починаючи з 2021 року, ця операція використовувала основне корисне навантаження APT29 ROOTSAW (також відоме як EnvyScout), щоб створити новий варіант бекдору, відомий як WINELOADER. Ця діяльність являє собою відхід від типового націлювання APT29 на уряди, іноземні посольства та інші дипломатичні представництва, і це перший раз, коли Mandiant визначив оперативний інтерес цього субкластеру APT29 до політичних партій.
Крім того, незважаючи на те, що APT29 раніше використовувала документи-приманки з логотипом німецьких урядових організацій, це перший випадок, коли група використовувала німецькомовний контент-приманку – можливий результат різної аудиторії двох операцій. Фішингові листи, надіслані жертвам, нібито були запрошенням на вечерю та містили логотип Християнсько-демократичного союзу (ХДС). Німецькомовний документ-приманка містить фішингове посилання, яке веде жертв до шкідливого ZIP-файлу, що містить програму ROOTSAW, розміщену на скомпрометованому веб-сайті, контрольованому акторами. ROOTSAW доставив документ-приманку на тему CDU на другому етапі та корисне навантаження WINELOADER на наступному етапі.
Більше на Mandiant.com
Про клієнта Mandiant є визнаним лідером у сфері динамічного кіберзахисту, аналізу загроз та реагування на інциденти. Маючи десятиліття досвіду на кіберфронтовій лінії, Mandiant допомагає організаціям впевнено та проактивно захищатися від кіберзагроз і реагувати на атаки. Тепер Mandiant є частиною Google Cloud.
Статті по темі