WINELOADER Achterdeur ingezet tegen Duitse doelen

ddos attack russia

Aan Rusland gelieerde dreigingsactoren hebben de WINELOADER-achterdeur ingezet bij recente cyberaanvallen gericht op Duitse politieke organisaties. Eind februari 2024 identificeerden onderzoekers van Mandiant de met Rusland geassocieerde groep APT29 die een aangepaste versie van de WINELOADER-achterdeur gebruikte om Duitse politieke partijen aan te vallen, waarbij ze een lokmiddel gebruikten met als thema de Christen-Democratische Unie (CDU).

Dit is het eerste voorbeeld waarin Mandiant observeert dat de APT29-subcluster zijn inspanningen richt op politieke entiteiten, wat wijst op een groeiende belangstelling die verder gaat dan hun gebruikelijke focus op diplomatieke missies. De doelgroepen ontvingen phishing-e-mails, geschreven in het Duits, die zogenaamd uitnodigingen waren voor een dinerreceptie op 1 maart, met het CDU-logo erop. Deze e-mails bevatten een link die leidde naar een kwaadaardig ZIP-bestand dat op een besmette website werd gehost.

In het ZIP-bestand zat een ROOTSAW-dropper, die werd gebruikt om een lokdocument in de tweede fase te implementeren, ook met als thema de CDU, naast een WINELOADER-payload opgehaald van de site "waterforvoiceless[.]org/util.php". De WINELOADER-achterdeur beschikt over meerdere kenmerken en functies die overlappen met andere malware in het arsenaal van APT29, zoals BURNTBATTER, MUSKYBEAT en BEATDROP, wat wijst op een waarschijnlijke gemeenschappelijke oorsprong.

WINELOADER Aanvalsvector en infiltratiemethode

WINELOADER wordt geïnitieerd door het zijdelings laden van DLL's in een legitiem Windows-uitvoerbaar bestand, gevolgd door decodering van de belangrijkste implantaatlogica met behulp van RC4. Zscaler ThreatLabz identificeerde WINELOADER aanvankelijk in februari 2023 en schreef de campagne toe aan een APT die bekend staat als SPIKEDWINE.

Zscaler waarschuwde dat SPIKEDWINE, een voorheen onbekende bedreigingsacteur, was waargenomen terwijl hij zich richtte op Europese functionarissen. De cyberspionnen gebruikten een pdf-document dat zich voordeed als een uitnodigingsbrief van de ambassadeur van India, waarin diplomaten werden uitgenodigd voor een wijnproeverij in februari 2024.

De campagne wordt gekenmerkt door het lage volume en het gebruik van geavanceerde tactieken, technieken en procedures (TTP's) door de dreigingsactoren. Het rapport concludeert dat, op basis van het mandaat van de SVR om politieke inlichtingen te verzamelen en de historische targetingpatronen van dit APT29-cluster, deze activiteit een aanzienlijke bedreiging vormt voor Europese en andere westerse politieke partijen in het hele politieke spectrum.

Tegen Zaib
March 26, 2024
Computer Security
Nederlands
March 26, 2024
Computer Security

Populaire posts

Softcnapp mogelijk ongewenste toepassing

1 month geleden

Wat is Cdmx-ransomware?

3 months geleden

Jegdex-zwendel

12 days geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

8 months geleden

Pinaview is een volledig uitgeruste adware-app

11 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

7 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.