Mandiant 的安全研究人员周五在发现俄罗斯 APT29 黑客组织针对德国政党的攻击活动后发出警报,这表明除了针对外交人物的典型攻击之外,可能还有新的行动重点。
根据 Mandiant 的新报告,与俄罗斯外国情报机构 (SVR) 有关的黑客已经扩大了目标基础,通过多阶段恶意软件攻击攻击德国政党,其中包括网络钓鱼诱饵和名为Wineloader的新后门。
Mandiant 表示,它观察到向受害者发送的网络钓鱼电子邮件,声称是 3 月初参加晚宴的邀请函,上面带有德国主要政党基督教民主联盟 (CDU) 的标志。
德语诱饵文件包含一个网络钓鱼链接,将受害者引导至一个恶意 ZIP 文件,该文件包含名为 Rootsaw 的恶意软件植入程序,该植入程序托管在攻击者控制的被黑网站上。
该植入程序将用于安装 Wineloader,这是一个已知的后门,首次出现在针对捷克、德国、印度、意大利、拉脱维亚和秘鲁的外交实体的恶意软件中。
Mandiant 研究人员卢克·詹金斯 (Luke Jenkins) 和丹·布莱克 (Dan Black) 在一份技术报告中写道:“这是我们第一次看到这个 APT29 集群针对政党,这表明可能存在一个新兴的行动重点领域,超出了外交使团的典型目标。”
研究人员表示:“根据 SVR 收集政治情报的责任以及该 APT29 集群的历史目标模式,我们判断该活动对欧洲和其他西方政党构成了广泛的威胁。”
Mandiant 表示:“这是我们第一次看到该组织使用德语诱饵内容,这可能是两个行动之间的目标差异(即国内与国外)造成的。”他警告说,APT29 的恶意软件传播行动是“具有高度适应性,并继续与俄罗斯地缘政治现实同步发展。”
除了网络钓鱼攻击外,Mandiant 警告称,APT29 黑客还致力于破坏基于云的身份验证机制,并在针对西方目标的活动中使用密码喷射等暴力方法。
该组织还被标记为 Cozy Bear、Dukes 和 Nobelium,并因多次备受瞩目的攻击而被公开指责,其中包括 2020 年 SolarWinds 供应链攻击。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/8E8-Rk4K1jmvPBl7pDRvLg
封面来源于网络,如有侵权请联系删除