Mandiant araştırmacıları, APT29'un (diğer adıyla Cosy Bear, diğer adıyla Midnight Blizzard) ilk kez Alman siyasi partilerini hedef aldığını tespit etti.
Kötü amaçlı yazılımlara yol açan kimlik avı
Saldırı, 2024 yılının Şubat ayının sonlarında, görünüşte Almanya'nın önemli bir siyasi partisi olan Hıristiyan Demokrat Birlik (CDU) tarafından gönderilen, bir akşam yemeği resepsiyonu için sahte davetiyeler içeren kimlik avı e-postalarıyla başladı.
Alıcılardan “etkinlik hakkında gerekli tüm bilgilerin yanı sıra katılım formunu” keşfetmeleri için bir bağlantıyı takip etmeleri istendi ve bu bağlantı, Cozy Bear'ın “birinci aşama temel yükünü” barındıran, güvenliği ihlal edilmiş bir WordPress web sitesine yönlendirildi: ROOTSAW.
“ROOTSAW, ikinci aşama CDU temalı yem belgesini ve 'waterforvoiceless'tan alınan bir sonraki aşama WINELOADER yükünü teslim etti[.]org/util.php',” diye belirtti araştırmacılar.
WINELOADER, algılamadan kaçınma ve kalıcılık yeteneklerine sahip modüler bir arka kapıdır ve araştırmacılara göre “Mandiant'ın benzersiz bir şekilde APT29 ile ilişkilendirdiği, halka açık olmayan tarihi BURNTBATTER ve MUSKYBEAT kod ailelerinin bir çeşididir.”
WINELOADER, geçen ay Zscaler araştırmacıları tarafından belgelendi; araştırmacılar bunu Hindistan Büyükelçisi'nin diplomatlara gönderdiği ve onları bir şarap tadım etkinliğine davet eden bir davet mektubu gibi görünen bir PDF dosyasını analiz ettikten sonra keşfettiler. Söz konusu PDF, 30 Ocak'ta Letonya'dan VirusTotal'a yüklendi.
Rahat Ayı'nın diğer hedefleri
Rusya'nın Dış İstihbarat Servisi (SVR) adına hareket ettiğine inanılan APT29'un daha önce hükümetleri, yabancı elçilikleri ve diğer diplomatik misyonları hedef aldığı biliniyordu.
“Biz (…)APT29'un ilgisinin olduğundan şüpheleniyoruz [political parties and other aspects of civil society] Almanya ile sınırlı kalması pek olası değil. Moskova'nın Ukrayna ile ilgili değişen Batılı siyasi dinamikleri ve diğer parlama noktası dış politika konularını anlama konusundaki hayati ilgisi göz önüne alındığında, Batılı siyasi partiler ve siyasi yelpazenin her yerindeki ilgili organları, gelecekteki SVR bağlantılı siber casusluk faaliyetleri için de muhtemelen olası hedeflerdir,” diye belirtti Mandiant araştırmacıları. .
“Diğer APT29 alt kümelerindeki son etkinliklere dayanarak, kimlik avının ötesinde ilk erişime ulaşma girişimleri, bulut tabanlı kimlik doğrulama mekanizmalarını veya parola püskürtme gibi kaba kuvvet yöntemlerini bozma girişimlerini içerebilir.”
Bu ayın başlarında Microsoft, APT29'un daha önce şirketten çaldığı bilgileri bazı dahili sistemlerine ve kod depolarına erişmek için kullandığını açıkladı.