大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
与俄罗斯有关的威胁行为者在最近针对德国政党的攻击中使用了 WINELOADER 后门。
2 月底,Mandiant 研究人员发现与俄罗斯有关的组织APT29使用WINELOADER后门的新变种,以基督教民主联盟 (CDU) 为主题的诱饵攻击德国政党。
这是 Mandiant 首次观察到 APT29 子集群针对政党,表明其兴趣已不再仅限于典型的外交使团攻击。
目标实体收到了伪装成 3 月 1 日晚宴邀请函的钓鱼电子邮件,邀请函上印有德国政党基督教民主联盟 (CDU) 的标志。钓鱼电子邮件以德语编写,其中包含一个链接,该链接指向托管在受感染网站上的恶意 ZIP 文件。
该 ZIP 文件包含一个 ROOTSAW 植入程序,用于部署同样以 CDU 为主题的第二阶段诱饵文档,以及从“waterforvoiceless[.]org/util.php”检索到的 WINELOADER 有效载荷。
WINELOADER 后门支持多种特性和功能,与 APT29 武器库中的其他恶意软件(如 BURNTBATTER、MUSKYBEAT 和BEATDROP)重叠,这表明它们很可能是由同一批专业人员开发的。
WINELOADER 使用 DLL 侧加载到合法的 Windows 可执行文件中来启动,然后它开始使用 RC4 解密主植入逻辑本身。
Zscaler ThreatLabz 的研究人员于 2023 年 2 月首次检测到WINELOADER,该安全公司将该活动归咎于名为SPIKEDWINE的 APT 。
Zscaler 警告称,SPIKEDWINE 是一个之前未知的威胁行为者,据观察,该组织针对的是欧洲官员。网络间谍使用伪装成印度大使邀请函的诱饵 PDF 文档,邀请外交官参加 2024 年 2 月的品酒活动。
此次活动的特点是规模非常小,而且威胁行为者采用了先进的战术、技术和程序 (TTP)。
报告最后总结道:“基于 SVR 收集政治情报的职责以及 APT29 集群的历史攻击模式,我们判断此次活动对欧洲和其他西方政党构成了广泛威胁。”
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):俄罗斯APT29 利用 WINELOADER 后门攻击德国政党
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论