Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
Бэкдор WINELOADER, использовавшийся в недавних кибератаках на дипломатические учреждения с фишинговыми приманками для дегустации вин, был приписан хакерской группе, имеющей связи со Службой внешней разведки России (SVR), которая была ответственна за взлом SolarWinds и Microsoft.
Выводы получены от Mandiant, в которых говорится, что Midnight Blizzard (также известная как APT29, BlueBravo или Cozy Bear) использовала вредоносное ПО для атаки на немецкие политические партии с помощью фишинговых электронных писем с логотипом Христианско-демократического союза (ХДС) примерно 26 февраля 2024 года.
"Мы впервые видим, как этот кластер APT29 нацелен на политические партии, что указывает на возможную область нового оперативного внимания, выходящую за рамки типичного нацеливания на дипломатические миссии", - сказали исследователи Люк Дженкинс и Дэн Блэк.
WINELOADER был впервые раскрыт Zscaler ThreatLabZ в прошлом месяце в рамках кампании кибершпионажа, которая, как полагают, продолжается как минимум с июля 2023 года. Они приписали эту активность кластеру, получившему название SPIKEDWINE.
Сети атак используют фишинговые электронные письма с заманчивым содержанием на немецком языке, выдаваемым за приглашение на званый ужин, чтобы обманом заставить получателей перейти по фальшивой ссылке и загрузить файл поддельного HTML-приложения (HTA), дроппера первой стадии под названием ROOTSAW (он же EnvyScout), который действует как канал доставки WINELOADER с удаленного сервера.
"Немецкоязычный документ lure содержит фишинговую ссылку, направляющую жертв на вредоносный ZIP-файл, содержащий ROOTSAW dropper, размещенный на скомпрометированном веб-сайте, контролируемом злоумышленником", - заявили исследователи. "ROOTSAW доставил документ-приманку на тему ХДС второго этапа и полезную информацию WINELOADER следующего этапа".
WINELOADER, вызываемый с помощью техники, называемой боковой загрузкой DLL с использованием легитимного sqldumper.exe, оснащен возможностями связываться с сервером, контролируемым участником, и извлекать дополнительные модули для выполнения на скомпрометированных хостах.
Говорят, что оно имеет сходство с известными семействами вредоносных программ APT29, такими как BURNTBATTER, MUSKYBEAT и BEATDROP, что предполагает работу общего разработчика.
WINELOADER, согласно дочерней компании Google Cloud, также использовалась в операции, направленной против дипломатических учреждений в Чешской Республике, Германии, Индии, Италии, Латвии и Перу в конце января 2024 года.
"ROOTSAW продолжает оставаться центральным компонентом первоначальных усилий APT29 по сбору иностранной политической информации", - говорится в сообщении компании.
"Расширенное использование вредоносного ПО первой стадии для атак на политические партии Германии является заметным отклонением от типичной дипломатической направленности этого подкластера APT29 и почти наверняка отражает заинтересованность СВР в получении информации от политических партий и других аспектов гражданского общества, которая могла бы продвигать геополитические интересы Москвы".
Немецкая прокуратура предъявила обвинение в шпионаже военному офицеру по имени Томас Х. После того, как его якобы поймали на шпионаже в пользу российских спецслужб и передаче неуказанной конфиденциальной информации. Он был арестован в августе 2023 года.
"С мая 2023 года он несколько раз по собственной инициативе обращался в Генеральное консульство России в Бонне и посольство России в Берлине и предлагал сотрудничество", - говорится в сообщении Федеральной прокуратуры. "Однажды он передал информацию, полученную им в ходе своей профессиональной деятельности, для передачи российской разведывательной службе".
https://thehackernews.uk/EUN089
Выводы получены от Mandiant, в которых говорится, что Midnight Blizzard (также известная как APT29, BlueBravo или Cozy Bear) использовала вредоносное ПО для атаки на немецкие политические партии с помощью фишинговых электронных писем с логотипом Христианско-демократического союза (ХДС) примерно 26 февраля 2024 года.
"Мы впервые видим, как этот кластер APT29 нацелен на политические партии, что указывает на возможную область нового оперативного внимания, выходящую за рамки типичного нацеливания на дипломатические миссии", - сказали исследователи Люк Дженкинс и Дэн Блэк.
WINELOADER был впервые раскрыт Zscaler ThreatLabZ в прошлом месяце в рамках кампании кибершпионажа, которая, как полагают, продолжается как минимум с июля 2023 года. Они приписали эту активность кластеру, получившему название SPIKEDWINE.
Сети атак используют фишинговые электронные письма с заманчивым содержанием на немецком языке, выдаваемым за приглашение на званый ужин, чтобы обманом заставить получателей перейти по фальшивой ссылке и загрузить файл поддельного HTML-приложения (HTA), дроппера первой стадии под названием ROOTSAW (он же EnvyScout), который действует как канал доставки WINELOADER с удаленного сервера.
"Немецкоязычный документ lure содержит фишинговую ссылку, направляющую жертв на вредоносный ZIP-файл, содержащий ROOTSAW dropper, размещенный на скомпрометированном веб-сайте, контролируемом злоумышленником", - заявили исследователи. "ROOTSAW доставил документ-приманку на тему ХДС второго этапа и полезную информацию WINELOADER следующего этапа".
WINELOADER, вызываемый с помощью техники, называемой боковой загрузкой DLL с использованием легитимного sqldumper.exe, оснащен возможностями связываться с сервером, контролируемым участником, и извлекать дополнительные модули для выполнения на скомпрометированных хостах.
Говорят, что оно имеет сходство с известными семействами вредоносных программ APT29, такими как BURNTBATTER, MUSKYBEAT и BEATDROP, что предполагает работу общего разработчика.
WINELOADER, согласно дочерней компании Google Cloud, также использовалась в операции, направленной против дипломатических учреждений в Чешской Республике, Германии, Индии, Италии, Латвии и Перу в конце января 2024 года.
"ROOTSAW продолжает оставаться центральным компонентом первоначальных усилий APT29 по сбору иностранной политической информации", - говорится в сообщении компании.
"Расширенное использование вредоносного ПО первой стадии для атак на политические партии Германии является заметным отклонением от типичной дипломатической направленности этого подкластера APT29 и почти наверняка отражает заинтересованность СВР в получении информации от политических партий и других аспектов гражданского общества, которая могла бы продвигать геополитические интересы Москвы".
Немецкая прокуратура предъявила обвинение в шпионаже военному офицеру по имени Томас Х. После того, как его якобы поймали на шпионаже в пользу российских спецслужб и передаче неуказанной конфиденциальной информации. Он был арестован в августе 2023 года.
"С мая 2023 года он несколько раз по собственной инициативе обращался в Генеральное консульство России в Бонне и посольство России в Берлине и предлагал сотрудничество", - говорится в сообщении Федеральной прокуратуры. "Однажды он передал информацию, полученную им в ходе своей профессиональной деятельности, для передачи российской разведывательной службе".
https://thehackernews.uk/EUN089
