APT29
APT29, также известный как Midnight Blizzard, BlueBravo или Cozy Bear, был обнаружен с помощью нового бэкдора WINELOADER, предназначенного для политических партий Германии. Эта кампания знаменует собой значительное смещение акцента группы с ее традиционных целей — дипломатических миссий — на политические структуры, что указывает на более цели по сбору политической информации.
📌Кампания была направлена против политических партий Германии, и фишинговые электронные письма были отправлены примерно 26 февраля 2024 года. В этих электронных письмах был логотип Христианско-демократического союза (ХДС) и вредоносные ссылки.
📌Считается, что WINELOADER является вариантом семейств кодов BURNTBATTER и MUSKYBEAT, которые были связаны с APT29 компанией Mandiant.
📌Вредоносная программа использует сложные методы, такие как дополнительная загрузка библиотеки DLL, шифрование RC4 для расшифровки полезной нагрузки и тактику предотвращения обнаружения, такую как проверка имен процессов/библиотек DLL и обход пользовательского режима Ntdll.
📌Первоначальный доступ был получен с помощью фишинговых вложений, ведущих к взломанному веб-сайту «waterforvoiceless[.]org», на котором размещался РУТСАВ-дроппер. Затем этот дроппер облегчил загрузку и выполнение полезной нагрузки WINELOADER.
📌Этот переход к преследованию политических партий отражает растущий интерес к влиянию или пониманию политической динамики на Западе, особенно в контексте сохраняющейся геополитической напряженности.
📌 Преследование политических партий рассматривается как стратегический шаг по сбору оперативной информации, которая потенциально может повлиять на политические результаты или стратегии в Европе и за ее пределами.
📌 Кампания против немецких политпартий рассматривается не как изолированный инцидент, а скорее как часть более широкой стратегии, которая может быть направлена против других западных политических образований.