Saldırıların arkasında yer alan APT29 ise (Midnight Blizzard, NOBELIUM, Cozy Bear olarak da bilinir), Rus Dış İstihbarat Servisi’nin (SVR) bir parçası olduğuna inanılan bir Rus casusluk hack grubu. Hack grubu, Aralık 2020’deki kötü şöhretli SolarWinds tedarik zinciri saldırısı da dahil olmak üzere birçok siber saldırıyla ilişkilendirildi.
Odak noktalarını diplomatik misyonları hedef alan tipik saldırılardan başka yöne kaydıran hacker grubu tarafından gerçekleştirilen kimlik avı saldırıları, tehdit aktörlerinin tehlikeye atılmış cihazlara ve ağlara uzaktan erişim sağlamasına olanak tanıyan WineLoader adlı bir arka kapı kötü amaçlı yazılımını dağıtmak için tasarlanmış durumda.
Hacker grubu uzun yıllar boyunca aktif olmaya devam etmiş ve genellikle hükümetleri, elçilikleri, üst düzey yetkilileri ve çeşitli kuruluşları bir dizi kimlik avı taktiği veya tedarik zinciri tehlikesi kullanarak hedef almıştı. APT29’un son dönemdeki odak noktası ise bulut hizmetleri olmuş, Microsoft sistemlerini ihlal ederek Exchange hesaplarından veri çalmış ve Hewlett Packard Enterprise tarafından kullanılan MS Office 365 e-posta ortamını tehlikeye atmıştı.
Siber güvenlik grubu Mandiant araştırmacıları, hacker grubu APT29’un Şubat 2024’ün sonlarından bu yana Alman siyasi partilerine karşı bir kimlik avı kampanyası yürüttüğünü söylüyor. Bu, hacker grubunun operasyonel odağında önemli bir değişime işaret ediyor, çünkü hacker grubu ilk kez siyasi partileri hedef alıyor.
Saldırı nasıl gerçekleştiriliyor?
Hacker grubu, Almanya’nın en büyük siyasi partilerinden biri olan ve federal parlamentonun (Bundestag) ikinci büyük partisi konumundaki Hıristiyan Demokrat Birliği (CDU) temalı oltalama e-postaları kullanıyor. Mandiant tarafından rapor edilen kimlik avı e-postaları, CDU’nun akşam yemeği davetleri gibi davranıyor ve ‘Rootsaw’ kötü amaçlı yazılım damlalığı içeren bir ZIP arşivi bırakan harici bir sayfaya bağlantı yerleştiriyor.
Rootsaw kötü amaçlı yazılımı çalıştırıldığında, kurbanın bilgisayarına ‘WineLoader’ adlı bir arka kapı indiriyor ve çalıştırıyor. WineLoader kötü amaçlı yazılımı daha önce Şubat ayında Zscaler tarafından keşfedilmiş ve bir şarap tadım etkinliği için diplomatlara davetiye gibi görünen kimlik avı saldırılarında kullanıldığını görmüştü.
WineLoader arka kapısı, geçmiş APT29 saldırılarında kullanılan ‘burnbatter’, ‘myskybeat’ ve ‘beatdrop’ gibi diğer kötü amaçlı yazılım varyantlarıyla birçok benzerlik göstermekte ve ortak bir geliştiriciye işaret etmektedir. Bununla birlikte, kötü amaçlı yazılım modülerdir ve önceki varyantlardan daha özelleştirilmiştir, hazır yükleyiciler kullanmaz ve komuta ve kontrol (C2) sunucusuyla veri alışverişi için şifreli bir iletişim kanalı kurar.
Tespit edilmekten kaçınmak için WineLoader RC4 kullanılarak şifresi çözülür ve meşru bir Windows yürütülebilir dosyasını (sqldumper.exe) kötüye kullanarak DLL yan yükleme yoluyla doğrudan belleğe yüklenir. Wineloader kurbanın kullanıcı adını, cihaz adını, işlem adını ve diğer bilgileri sistemin profilini çıkarmaya yardımcı olması için C2’ye gönderir. C2, kalıcılık oluşturmak gibi belirli görevleri yerine getirmek için dinamik olarak yüklenebilen modüllerin yürütülmesini emredebilir.
 ile bağlantılı bir hacker grubunun Almanya'daki siyasi partileri hedef aldığını bildiriyor){kind=link}