Cercetatorii avertizeaza ca un grup de hackeri notoriu legat de Serviciul de Informatii Externe al Rusiei (SVR) vizeaza partidele politice din Germania pentru prima data, schimbandu-si focusul de la obisnuita tinta a misiunilor diplomatice.
Atacurile de phishing sunt concepute pentru a implementa un malware de tip backdoor numit WineLoader, care permite actorilor de amenintare sa obtina acces la distanta la dispozitivele si retelele compromise.
APT29 (cunoscut si sub numele de Midnight Blizzard, NOBELIUM, Cozy Bear) este un grup de hackeri de spionaj rus credibil ca face parte din Serviciul de Informatii Externe al Rusiei (SVR).
Grupul de hackeri a fost legat de multe atacuri cibernetice, inclusiv de celebrul atac asupra lantului de aprovizionare SolarWinds din decembrie 2020.
Actorii de amenintare au ramas activi de-a lungul acestor ani, vizand in mod tipic guverne, ambasade, oficiali de rang inalt si diverse entitati folosind o gama de tactici de phishing sau compromiteri ale lantului de aprovizionare.
Focusul recent al APT29 a fost pe serviciile cloud, spargand sistemele Microsoft si furand date din conturile Exchange, si compromitand mediul de email MS Office 365 utilizat de Hewlett Packard Enterprise.
Cercetatorii de la Mandiant spun ca APT29 a desfasurat o campanie de phishing impotriva partidelor politice din Germania incepand cu sfarsitul lunii februarie 2024. Acest lucru marcheaza o schimbare semnificativa in focusul operational al grupului de hackeri, deoarece este prima data cand acestia vizeaza partidele politice.
Hackerii folosesc acum emailuri de phishing cu o momeala tematica in jurul Uniunii Crestin Democrate (CDU), un partid politic major din Germania si actualmente al doilea ca marime in parlamentul federal (Bundestag).
Emailurile de phishing vazute de Mandiant pretind a fi invitatii la cina de catre CDU care incorporeaza un link catre o pagina externa care descarca un arhiv ZIP continand malware-ul dropper ‘Rootsaw’.
Cand este executat, malware-ul Rootsaw descarca si executa un backdoor numit ‘WineLoader’ pe computerul victimei.
Malware-ul WineLoader a fost descoperit anterior de Zscaler in februarie, care l-a vazut implementat in atacuri de phishing pretinzand a fi invitatii pentru diplomatii la un eveniment de degustare de vin.
Backdoor-ul WineLoader prezinta mai multe similaritati cu alte variante de malware implementate in atacurile anterioare APT29, cum ar fi ‘burnbatter’, ‘myskybeat’ si ‘beatdrop’, sugerand un dezvoltator comun.
Cu toate acestea, malware-ul este modular si mai personalizat decat variantele anterioare, nu foloseste incarcatoare generice si stabileste un canal de comunicare criptat pentru schimbul de date cu serverul de comanda si control (C2).
Analistii de la Mandiant au vazut pentru prima data WineLoader la sfarsitul lunii ianuarie 2024 intr-o operatiune care viza diplomatii din Cehia, Germania, India, Italia, Letonia si Peru. Astfel, varianta particulara pare sa fi fost malware-ul de ales pentru APT29 in ultimul timp.
Pentru a evita detectarea, WineLoader este decriptat folosind RC4 si incarcat direct in memorie prin DLL side-loading, abuzand un executabil legitim Windows (sqldumper.exe).
Wineloader trimite numele de utilizator al victimei, numele dispozitivului, numele procesului si alte informatii la C2 pentru a ajuta la profilarea sistemului.
C2 poate ordona executia de module care pot fi incarcate dinamic pentru a efectua sarcini specifice, cum ar fi stabilirea persistentei.
Desi Mandiant nu intra in detalii cu privire la module, se presupune ca natura sa modulara permite lui WineLoader sa execute o gama larga de activitati de spionaj in conformitate cu misiunea APT29.
APT29 continua sa demonstreze competenta tehnica avansata si eforturile continue de a dezvolta instrumente pentru a infiltra si spiona entitatile vizate.
Trecerea catre partidele politice sugereaza o intentie de a influenta sau monitoriza procesele politice, reflectand posibil obiective geopolitice mai largi.
Leave a Reply