Araştırmacılar, Rusya'nın Dış İstihbarat Servisi (SVR) ile bağlantılı kötü şöhretli bir bilgisayar korsanlığı grubunun ilk kez Almanya'daki siyasi partileri hedef aldığı ve odak noktalarını diplomatik misyonların tipik hedeflenmesinden uzaklaştırdığı konusunda uyarıyorlar.
Kimlik avı saldırıları, tehdit aktörlerinin ele geçirilen cihazlara ve ağlara uzaktan erişmesine olanak tanıyan WineLoader adlı bir arka kapı kötü amaçlı yazılımını dağıtmak üzere tasarlandı.
APT29 (Midnight Blizzard, NOBELIUM, Cozy Bear olarak da bilinir), Rusya Dış İstihbarat Servisi'nin (SVR) bir parçası olduğuna inanılan bir Rus casusluk hackleme grubudur.
Bilgisayar korsanlığı grubu, Aralık 2020'deki kötü şöhretli SolarWinds tedarik zinciri saldırısı da dahil olmak üzere birçok siber saldırıyla ilişkilendirildi.
Tehdit aktörleri bu yıllar boyunca aktif olmaya devam etti ve genellikle çeşitli kimlik avı taktikleri veya tedarik zinciri ihlalleri kullanarak hükümetleri, elçilikleri, üst düzey yetkilileri ve çeşitli kuruluşları hedef aldı.
APT29'un son zamanlardaki odak noktası bulut hizmetleri, Microsoft sistemlerini ihlal etmek, Exchange hesaplarından veri çalmak ve Hewlett Packard Enterprise tarafından kullanılan MS Office 365 e-posta ortamını tehlikeye atmak oldu.
Siyasi partileri taklit etmek
Mandiant araştırmacıları, APT29'un Şubat 2024'ün sonlarından bu yana Alman siyasi partilerine karşı bir kimlik avı kampanyası yürüttüğünü söylüyor. Bu, bilgisayar korsanlığı grubunun operasyonel odağında önemli bir değişime işaret ediyor çünkü bilgisayar korsanlığı grubu ilk kez siyasi partileri hedef alıyor.
Bilgisayar korsanları artık Almanya'nın önemli bir siyasi partisi olan ve şu anda federal parlamentonun (Bundestag) ikinci büyük partisi olan Hıristiyan Demokrat Birliği (CDU) temalı bir tuzakla kimlik avı e-postaları kullanıyor.
Mandiant tarafından görülen kimlik avı e-postaları, CDU'nun akşam yemeği davetleri gibi görünüyor ve 'Rootsaw' kötü amaçlı yazılım damlatıcısını içeren bir ZIP arşivini bırakan harici bir sayfaya bağlantı içeriyor.
Rootsaw kötü amaçlı yazılımı çalıştırıldığında kurbanın bilgisayarına 'WineLoader' adlı bir arka kapıyı indirir ve çalıştırır.
WineLoader kötü amaçlı yazılımı daha önce Şubat ayında Zscaler tarafından keşfedilmişti ve Zscaler, bu yazılımın diplomatları şarap tadım etkinliğine davet ediyormuş gibi davranarak kimlik avı saldırılarında kullanıldığını görmüştü.
WineLoader arka kapısı, geçmiş APT29 saldırılarında kullanılan 'burnbatter', 'myskybeat' ve 'beatdrop' gibi diğer kötü amaçlı yazılım çeşitleriyle çeşitli benzerlikler içeriyor ve bu da ortak bir geliştiriciye işaret ediyor.
Ancak kötü amaçlı yazılım modülerdir ve önceki varyantlara göre daha özelleştirilmiştir, kullanıma hazır yükleyiciler kullanmaz ve komuta ve kontrol (C2) sunucusuyla veri alışverişi için şifreli bir iletişim kanalı kurar.
Mandiant'ın analistleri WineLoader'ı ilk kez Ocak 2024'ün sonlarında Çek Cumhuriyeti, Almanya, Hindistan, İtalya, Letonya ve Peru diplomatlarını hedef alan bir operasyonda gördü. Bu nedenle, söz konusu varyantın son zamanlarda APT29 için tercih edilen kötü amaçlı yazılım olduğu görülüyor.
Tespitten kaçınmak için WineLoader'ın şifresi RC4 kullanılarak çözülür ve meşru bir Windows yürütülebilir dosyasını (sqldumper.exe) kötüye kullanarak DLL tarafından yükleme yoluyla doğrudan belleğe yüklenir.
Wineloader, sistemin profilinin çıkarılmasına yardımcı olmak için kurbanın kullanıcı adını, cihaz adını, işlem adını ve diğer bilgileri C2'ye gönderir.
C2, kalıcılık oluşturmak gibi belirli görevleri gerçekleştirmek için dinamik olarak yüklenebilen modüllerin yürütülmesini emredebilir.
Mandiant herhangi bir modüle değinmese de WineLoader'ın modüler yapısının, APT29'un misyonu doğrultusunda geniş bir yelpazedeki casusluk faaliyetlerini yürütmesine olanak sağladığı varsayılmaktadır.
APT29, hedeflenen kuruluşlara sızmak ve casusluk yapmak için araçlar geliştirmeye yönelik gelişmiş teknik uzmanlığını ve süregelen çabalarını göstermeye devam ediyor.
Siyasi partilere geçiş, muhtemelen daha geniş jeopolitik hedefleri yansıtan, siyasi süreçleri etkileme veya izleme niyetini akla getiriyor.