[ad_1]
వైన్ టేస్టింగ్ ఫిషింగ్ ఎరలను ఉపయోగించి దౌత్య సంస్థలను లక్ష్యంగా చేసుకుని ఇటీవలి సైబర్టాక్లలో ఉపయోగించిన WINELOADER బ్యాక్డోర్, సోలార్విండ్స్ మరియు మైక్రోసాఫ్ట్ చొరబాట్లకు కారణమైన రష్యన్ ఫారిన్ ఇంటెలిజెన్స్ సర్వీస్ (SVR)తో సంబంధాలు కలిగి ఉన్న హ్యాకర్ గ్రూప్ యొక్క పని అని చెప్పబడింది.
ఫిబ్రవరి 26, 2024 నాటికి క్రిస్టియన్ డెమోక్రటిక్ యూనియన్ (CDU) లోగోతో కూడిన ఫిషింగ్ ఇమెయిల్లను పంపడానికి మిడ్నైట్ బ్లిజార్డ్ (దీనిని APT29, బ్లూబ్రావో లేదా కోజీ బేర్ అని కూడా పిలుస్తారు) మాల్వేర్ను ఉపయోగించినట్లు మాండియంట్ నుండి ఈ అన్వేషణ వచ్చింది. ఇది లక్ష్యంగా చేసుకున్నట్లు పేర్కొంది. జర్మనీలో రాజకీయ పార్టీలు.
పరిశోధకులు ల్యూక్ జెంకిన్స్ మరియు డాన్ బ్లాక్ ఇలా అన్నారు: “ఈ APT29 క్లస్టర్ రాజకీయ పార్టీని లక్ష్యంగా చేసుకోవడం ఇదే మొదటిసారి, మరియు ఇది దౌత్య కార్యకలాపాల యొక్క సాధారణ లక్ష్యానికి మించి కొత్త ఎత్తుగడను సూచిస్తుంది. “ఇది ఒక ముఖ్యమైన కార్యాచరణ దృష్టికి సంభావ్యతను అందిస్తుంది. “
కనీసం జూలై 2023 నుండి కొనసాగుతున్న సైబర్ గూఢచర్య చర్యలో భాగంగా WINELOADERని మొదటిసారిగా Zscaler ThreatLabz గత నెలలో బహిర్గతం చేసింది. Zscaler ThreatLabz ఈ కార్యాచరణను SPIKEDWINE అనే క్లస్టర్కు ఆపాదించింది.
దాడి గొలుసు జర్మన్లో డికోయ్ కంటెంట్తో కూడిన ఫిషింగ్ ఇమెయిల్ను ఉపయోగించుకుంటుంది, ఇది గ్రహీతలను మోసగించి నకిలీ లింక్పై క్లిక్ చేసి, ఆపై హానికరమైన HTML అప్లికేషన్ (HTA) ఫైల్ లేదా ROOTSAW (మొదటి దశ డ్రాపర్, కూడా) డౌన్లోడ్ చేస్తుంది. ROOTSAW అని పిలుస్తారు, డౌన్లోడ్ చేయబడుతుంది. EnvyScout) రిమోట్ సర్వర్ నుండి WINELOADERని పంపిణీ చేయడానికి ఒక మార్గంగా పనిచేస్తుంది.
“జర్మన్-భాష డికోయ్ డాక్యుమెంట్ ఫిషింగ్ లింక్ను కలిగి ఉంది, ఇది దాడి చేసేవారిచే నియంత్రించబడే రాజీపడిన వెబ్సైట్లో హోస్ట్ చేయబడిన ROOTSAW డ్రాపర్ను కలిగి ఉన్న హానికరమైన జిప్ ఫైల్కు బాధితులను నిర్దేశిస్తుంది” అని పరిశోధకులు రాశారు. “ROOTSAW రెండవ దశ CDU- నేపథ్య ఎర డాక్యుమెంటేషన్ మరియు తదుపరి దశ WINELOADER పేలోడ్ను అందించింది.”
WINELOADER చట్టబద్ధమైన sqldumper.exeని ఉపయోగించి DLL సైడ్లోడింగ్ అని పిలువబడే సాంకేతికత ద్వారా ప్రారంభించబడుతుంది మరియు దాడి చేసేవారి-నియంత్రిత సర్వర్లకు కనెక్ట్ చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది మరియు రాజీపడిన హోస్ట్లో అమలు చేయడానికి అదనపు మాడ్యూల్లను పొందగలదు.
ఇది BURNTBATTER, MUSKYBEAT మరియు BEATDROP వంటి తెలిసిన APT29 మాల్వేర్ కుటుంబాలతో సారూప్యతలను పంచుకుంటుంది, ఇది సాధారణ డెవలపర్ యొక్క పని అని సూచిస్తుంది.
Google క్లౌడ్ అనుబంధ సంస్థ ప్రకారం, జనవరి 2024 చివరిలో చెక్ రిపబ్లిక్, జర్మనీ, ఇండియా, ఇటలీ, లాట్వియా మరియు పెరూలోని దౌత్య సంస్థలను లక్ష్యంగా చేసుకుని కార్యకలాపాలలో WINELOADER కూడా పనిచేసింది.
“విదేశీ రాజకీయ గూఢచారాన్ని సేకరించేందుకు APT29 యొక్క ముందస్తు యాక్సెస్ ప్రయత్నాలలో ROOTSAW ఒక ప్రధాన భాగం” అని కంపెనీ తెలిపింది.
“జర్మనీలో రాజకీయ పార్టీలను లక్ష్యంగా చేసుకునే మొదటి-దశ మాల్వేర్ యొక్క విస్తృత వినియోగం ఈ APT29 సబ్క్లస్టర్ యొక్క సాధారణ దౌత్య దృష్టి నుండి గుర్తించదగిన నిష్క్రమణ, మరియు ఇది ఈ APT29 సబ్క్లస్టర్ యొక్క సాధారణ దౌత్య దృష్టి నుండి గణనీయమైన నిష్క్రమణను సూచిస్తుంది మరియు ఇది రాజకీయాలను లక్ష్యంగా చేసుకుంది. మాస్కో విధానాలను ముందుకు తీసుకెళ్లగల పార్టీలు మరియు పౌరులు.” భౌగోళిక రాజకీయ ఆసక్తులు, ఇది సమాజంలోని ఇతర అంశాల నుండి సమాచారాన్ని సేకరించడంలో SVR యొక్క ఆసక్తిని దాదాపుగా ప్రతిబింబిస్తుంది. ”
రష్యన్ ఇంటెలిజెన్స్ తరపున గూఢచర్యం చేయడం మరియు పేర్కొనబడని రహస్య సమాచారాన్ని అందించడం, అతనిపై గూఢచర్యం అభియోగాలు మోపడం వంటి అనుమానంతో జర్మన్ ప్రాసిక్యూటర్లు థామస్ హెచ్ అనే మిలిటరీ వ్యక్తిని అరెస్టు చేసిన తర్వాత ఈ సంఘటన జరిగింది. 2023 ఆగస్టులో అరెస్టయ్యాడు.
“మే 2023 నుండి, అతను తన స్వంత చొరవతో బాన్లోని రష్యన్ కాన్సులేట్ జనరల్ మరియు బెర్లిన్లోని రష్యన్ రాయబార కార్యాలయాన్ని చాలాసార్లు సంప్రదించాడు మరియు వారి సహకారాన్ని అందించాడు” అని ఫెడరల్ ప్రాసిక్యూటర్ కార్యాలయం ఒక ప్రకటనలో తెలిపింది. “ఒక సమయంలో, అతను రష్యన్ గూఢచార సేవలకు బదిలీ కోసం తన వృత్తిపరమైన కార్యకలాపాల సమయంలో పొందిన సమాచారాన్ని పంపాడు.”
[ad_2]
Source link
