Диапазон интересов кибершпионов из APT29 оказался шире, чем считалось ранее.
Эксперты ИБ-компании Mandiant связали недавние кибератаки с использованием бэкдора WINELOADER с деятельностью хакерской группировки APT29.
По данным исследователей, приблизительно 26 февраля этого года группировка провела фишинговую кампанию против немецких политических партий, разослав электронные письма с логотипом Христианско-демократического союза (CDU).
«Это первый случай, когда мы наблюдаем, чтобы APT29 атаковала политические партии, что может указывать на новую область интересов помимо традиционных целей группировки», — отмечают Люк Дженкинс и Дэн Блэк из Mandiant.
Как было отмечено выше, в этой зловредной кампании использовался бэкдор WINELOADER, впервые обнаруженный Zscaler в феврале этого года. Атаки начинались с фишинговых писем на немецком языке, выдаваемых за приглашения на званый ужин. Запуск вложения к письму в формате «.hta» вёл к загрузке и активации дроппера первой стадии под названием ROOTSAW (он же EnvyScout), который действует как канал доставки WINELOADER с удалённого сервера.
Исследователи отмечают сходство WINELOADER с другими вредоносными программами, связанными с APT29, что указывает на общего разработчика.
Несмотря на то, что вредонос был обнаружен и раскрыт только в прошлом месяце, по данным исследователей, он уже неоднократно применялся для атак на дипломатические миссии в Чехии, Германии, Индии, Италии, Латвии и Перу. Кампания кибершпионажа, распространяющая WINELOADER, как сообщается, активна минимум с июля прошлого года.
Наш канал — питательная среда для вашего интеллекта