Новости WINELOADER: из погреба хакеров прямиком на компьютеры иностранных депутатов

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Диапазон интересов кибершпионов из APT29 оказался шире, чем считалось ранее.


iwo6h253f3hio9xelj9mbfpttltrs4ys.jpg


Эксперты ИБ-компании Mandiant Для просмотра ссылки Войди или Зарегистрируйся недавние кибератаки с использованием бэкдора WINELOADER с деятельностью хакерской группировки APT29.

По данным исследователей, приблизительно 26 февраля этого года группировка провела фишинговую кампанию против немецких политических партий, разослав электронные письма с логотипом Христианско-демократического союза (CDU).

«Это первый случай, когда мы наблюдаем, чтобы APT29 атаковала политические партии, что может указывать на новую область интересов помимо традиционных целей группировки», — отмечают Люк Дженкинс и Дэн Блэк из Mandiant.

Как было отмечено выше, в этой зловредной кампании использовался бэкдор WINELOADER, Для просмотра ссылки Войди или Зарегистрируйся Zscaler в феврале этого года. Атаки начинались с фишинговых писем на немецком языке, выдаваемых за приглашения на званый ужин. Запуск вложения к письму в формате «.hta» вёл к загрузке и активации дроппера первой стадии под названием ROOTSAW (он же EnvyScout), который действует как канал доставки WINELOADER с удалённого сервера.

Исследователи отмечают сходство WINELOADER с другими вредоносными программами, связанными с APT29, что указывает на общего разработчика.

Несмотря на то, что вредонос был обнаружен и раскрыт только в прошлом месяце, по данным исследователей, он уже неоднократно применялся для атак на дипломатические миссии в Чехии, Германии, Индии, Италии, Латвии и Перу. Кампания кибершпионажа, распространяющая WINELOADER, как сообщается, активна минимум с июля прошлого года.
 
Источник новости
www.securitylab.ru

Похожие темы