WINELOADER Backdoor

يُعتقد أن الهجمات السيبرانية التي تنشر الباب الخلفي لـ WINELOADER قد تم إعدادها من قبل مجموعة قرصنة لها علاقات بجهاز المخابرات الخارجية الروسي (SVR). اكتسبت هذه المجموعة، المعروفة باسم Midnight Blizzard (يشار إليها أيضًا باسم APT29 أو BlueBravo أو Cozy Bear)، سمعة سيئة لتورطها في انتهاكات مثل SolarWinds وMicrosoft. وقد تم استخدام الباب الخلفي سابقًا في الهجمات التي تستهدف الكيانات الدبلوماسية من خلال إغراءات التصيد الاحتيالي لتذوق النبيذ.

اكتشف الباحثون أدلة تشير إلى أن Midnight Blizzard استخدمت هذه البرامج الضارة لاستهداف الأحزاب السياسية الألمانية في أواخر فبراير 2024، باستخدام رسائل البريد الإلكتروني التصيدية المزينة بشعار الاتحاد الديمقراطي المسيحي (CDU). وهذه هي المرة الأولى التي يتم فيها ملاحظة استهداف APT29 للأحزاب السياسية على وجه التحديد، مما يشير إلى تحول محتمل في تركيزها العملياتي بعيدًا عن المهام الدبلوماسية التقليدية.

يصيب الباب الخلفي WINELOADER الضحايا عبر سلسلة هجوم متعددة المراحل

في فبراير 2024، كشف الباحثون عن وجود WINELOADER كجزء من حملة تجسس إلكترونية مستمرة يعتقد أنها بدأت في يوليو 2023. ويُنسب هذا النشاط إلى مجموعة تعرف باسم SPIKEDWINE.

تتضمن استراتيجية الهجوم رسائل بريد إلكتروني تصيدية تحتوي على محتوى باللغة الألمانية مصممة لإغراء المستلمين بوعدهم بدعوة حفل عشاء. تهدف رسائل البريد الإلكتروني هذه إلى خداع المستلمين للنقر على رابط مخادع، مما يؤدي إلى تنزيل ملف تطبيق HTML (HTA) مخادع يسمى ROOTSAW (المعروف أيضًا باسم EnvyScout ). يعمل ROOTSAW بمثابة قطارة أولية، مما يسهل تسليم WINELOADER من خادم بعيد.

تقوم وثيقة الإغراء باللغة الألمانية الموجودة في رسائل البريد الإلكتروني التصيدية بتوجيه الضحايا إلى ملف ZIP ضار مستضاف على موقع ويب مخترق يتحكم فيه الممثلون. يحتوي هذا الملف المضغوط على قطارة ROOTSAW. عند التنفيذ، يقوم ROOTSAW بتسليم مستند إغراء للمرحلة الثانية تحت عنوان الاتحاد الديمقراطي المسيحي (CDU) ثم يقوم بعد ذلك بنشر حمولة WINELOADER.

يمتلك WINELOADER، الذي يستخدم التحميل الجانبي لـ DLL من خلال sqldumper.exe الشرعي، إمكانات لإنشاء اتصال مع خادم يتحكم فيه ممثلو التهديد، مما يتيح استرجاع وتنفيذ وحدات إضافية على الأجهزة المضيفة المخترقة.

يكشف التحليل عن أوجه التشابه بين WINELOADER وعائلات البرامج الضارة الأخرى المرتبطة بـ APT29، مثل BURNTBATTER وMUSKYBEAT وBEATDROP، مما يشير إلى وجود مطور مشترك أو منهجية تطوير. علاوة على ذلك، تم التعرف على WINELOADER في عملية استهدفت الكيانات الدبلوماسية في مختلف البلدان، بما في ذلك جمهورية التشيك وألمانيا والهند وإيطاليا ولاتفيا وبيرو، في أواخر يناير 2024.

قد تقوم APT29 بتوسيع نطاقها ليشمل أهدافًا جديدة

يظل ROOTSAW عنصرًا حاسمًا في استراتيجيات التسلل الأولية لـ APT29 والتي تهدف إلى جمع المعلومات الاستخبارية السياسية الأجنبية. يمثل استخدام هذه البرامج الضارة في المرحلة الأولى لاستهداف الأحزاب السياسية الألمانية خروجًا ملحوظًا عن الأهداف الدبلوماسية النموذجية المرتبطة بالمجموعة الفرعية APT29. ويعكس هذا التحول بلا شك اهتمام الاستخبارات الخارجية الشديد بالحصول على المعلومات من الأحزاب السياسية وغيرها من جوانب المجتمع المدني التي يمكن أن تعزز الأهداف الجيوسياسية لموسكو.

يتزامن هذا التطور مع الإجراءات القانونية المتخذة في ألمانيا، حيث وجه المدعون العامون اتهامات بالتجسس ضد ضابط عسكري يُدعى توماس إتش. وهو متهم بأنشطة تجسس يُزعم أنها تمت نيابة عن أجهزة المخابرات الروسية تنطوي على نقل معلومات حساسة غير محددة. تم القبض على توماس هـ. في أغسطس 2023.