Η ομάδα APT29 (επίσης γνωστή ως Cozy Bear και Midnight Blizzard) εντοπίστηκε να στοχεύει για πρώτη φορά γερμανικά πολιτικά κόμματα με malware, όπως μοιράστηκαν οι ερευνητές της Mandiant.
Δείτε επίσης: Οι Ρώσοι hackers APT29 στοχεύουν cloud υπηρεσίες
Απάτες που οδηγούν σε κακόβουλο λογισμικό
Η επίθεση ξεκίνησε τον Φεβρουάριο του 2024, με email phishing που περιείχαν πλαστές προσκλήσεις για μια δεξίωση δείπνου, που υποτίθεται ότι αποστάληκαν από την Χριστιανοδημοκρατική Ένωση (CDU), ένα μείζον κόμμα στη Γερμανία.
Οι παραλήπτες του malware καλούνταν να ακολουθήσουν ένα σύνδεσμο για να ανακαλύψουν “όλες τις απαραίτητες πληροφορίες σχετικά με το γεγονός καθώς και τη φόρμα για συμμετοχή” και μεταφέρονταν σε μια χακαρισμένη ιστοσελίδα WordPress που φιλοξενούσε το “κύριο προσκείμενο φορτίο της πρώτης φάσης” της APT29: ROOTSAW.
Οι ερευνητές σημείωσαν ότι το ROOTSAW παρέδωσε ένα έγγραφο προσέλκυσης δεύτερης φάσης και ένα φορτίο WINELOADER επόμενης φάσης που ανακτήθηκε από το ‘waterforvoiceless[.]org/util.php‘.
Το WINELOADER είναι ένα modular backdoor με δυνατότητες αποφυγής ανίχνευσης και διατήρησης, και σύμφωνα με τους ερευνητές, “πιθανότατα μια παραλλαγή των μη δημόσιων ιστορικών οικογενειών κώδικα BURNTBATTER και MUSKYBEAT τις οποίες η Mandiant συσχετίζει μοναδικά με το APT29.“
Δείτε ακόμα: Οι Ρώσοι hackers APT29 χρησιμοποιούν WinRAR exploit για επιθέσεις σε πρεσβείες
Το WINELOADER του APT29 malware καταγράφηκε τον προηγούμενο μήνα από ερευνητές της Zscaler, οι οποίοι το ανακάλυψαν αναλύοντας ένα PDF που προσποιείται μια πρόσκληση από τον Πρέσβη της Ινδίας προς διπλωμάτες, προσκαλώντας τους σε ένα γευσιγνωστικό event με κρασί. Το συγκεκριμένο PDF ανέβηκε στο VirusTotal από τη Λετονία στις 30 Ιανουαρίου.
Άλλοι στόχοι του Cozy Bear
Η ομάδα APT29, που πιστεύεται ότι ενεργεί εκ μέρους της Υπηρεσίας Εξωτερικών Πληροφοριών της Ρωσίας (SVR), είναι ήδη γνωστή για τις επιθέσεις malware της σε κυβερνήσεις, ξένες πρεσβείες και άλλες διπλωματικές αποστολές.
Στις αρχές του μήνα, η Microsoft αποκάλυψε ότι η APT29 χρησιμοποίησε τις πληροφορίες που είχε παλαιότερα κλέψει από την εταιρεία για να έχει πρόσβαση σε μερικά εσωτερικά συστήματά της και αποθετήρια κώδικα.
Δείτε επίσης: Microsoft: Οι Ρώσοι hackers Nobelium παραβίασαν emails της
Οι Ρώσοι χάκερ, όπως η ομάδα ομάδα APT29, έχουν προκαλέσει σημαντικές αναταραχές στην παγκόσμια κυβερνοασφάλεια με την εξάπλωση malware. Έχουν επιδείξει την ικανότητα να διαπερνούν ακόμη και τα πιο προηγμένα αμυντικά συστήματα, προκαλώντας σημαντικές ζημιές και αποκαλύπτοντας τις αδυναμίες των συστημάτων ασφαλείας. Έχουν επιτεθεί σε κρατικές οργανώσεις, ιδιωτικές επιχειρήσεις και ακόμη και σε ιδιώτες, κλέβοντας προσωπικά δεδομένα, εμπιστευτικές πληροφορίες και προκαλώντας οικονομικές απώλειες. Αυτό έχει αυξήσει την ανησυχία για την κυβερνοασφάλεια σε παγκόσμιο επίπεδο και έχει οδηγήσει σε αυξημένες προσπάθειες για την ενίσχυση των μέτρων ασφαλείας. Αυτό έχει προκαλέσει ακόμη μεγαλύτερη ανησυχία για την παγκόσμια κυβερνοασφάλεια και έχει οδηγήσει σε αυξημένες προσπάθειες για την προστασία των δημοκρατικών διαδικασιών.
Πηγή: helpnetsecurity
