WINELOADER Backdoor

Смята се, че кибератаките, използващи задната вратичка на WINELOADER, са организирани от хакерска група с връзки с Руската служба за външно разузнаване (SVR). Тази група, известна като Midnight Blizzard (наричана още APT29, BlueBravo или Cozy Bear), придоби известност с участието си в пробиви като SolarWinds и Microsoft. Задната врата е била използвана преди това при атаки, насочени към дипломатически лица чрез фишинг примамки за дегустация на вино.

Изследователите са открили доказателства, които предполагат, че Midnight Blizzard е използвал този злонамерен софтуер, за да се насочи към германските политически партии в края на февруари 2024 г., използвайки фишинг имейли, украсени с логото на Християндемократическия съюз (CDU). Това бележи първия случай, при който APT29 е наблюдаван, насочен конкретно към политически партии, което предполага потенциално изместване на техния оперативен фокус от традиционните дипломатически мисии.

Задната врата на WINELOADER заразява жертвите чрез многоетапна верига от атаки

През февруари 2024 г. изследователите разкриха съществуването на WINELOADER като част от продължаваща кампания за кибер шпионаж, за която се смята, че е започнала през юли 2023 г. Тази дейност се приписва на клъстер, известен като SPIKEDWINE.

Стратегията за атака включва фишинг имейли, съдържащи съдържание на немски език, предназначени да привлекат получателите с обещание за покана за вечеря. Тези имейли имат за цел да подмамят получателите да кликнат върху измамна връзка, водеща до изтеглянето на файл с фалшиво HTML приложение (HTA), наречен ROOTSAW (известен също като EnvyScout ). ROOTSAW служи като първоначален капкомер, улесняващ доставката на WINELOADER от отдалечен сървър.

Примамливият документ на немски език във фишинг имейлите насочва жертвите към злонамерен ZIP файл, хостван на компрометиран уебсайт, контролиран от участниците. Този ZIP файл съдържа капкомера ROOTSAW. При изпълнението ROOTSAW доставя документ за примамка от втори етап, насочен към Християндемократическия съюз (CDU) и впоследствие разгръща полезния товар WINELOADER.

WINELOADER, използвайки странично зареждане на DLL през легитимния sqldumper.exe, притежава възможности за установяване на комуникация със сървър, контролиран от участниците в заплахата, което позволява извличането и изпълнението на допълнителни модули на компрометирани хостове.

Анализът разкрива прилики между WINELOADER и други семейства злонамерен софтуер, свързани с APT29, като BURNTBATTER, MUSKYBEAT и BEATDROP, намеквайки за споделен разработчик или методология за разработка. Освен това WINELOADER е идентифициран в операция, насочена към дипломатически институции в различни страни, включително Чехия, Германия, Индия, Италия, Латвия и Перу, в края на януари 2024 г.

APT29 може да разшири обхвата си, за да включи нови цели

ROOTSAW остава критичен компонент в първоначалните стратегии за проникване на APT29, насочени към събиране на външно политическо разузнаване. Използването на този първи етап на зловреден софтуер за насочване към германски политически партии бележи значително отклонение от типичните дипломатически цели, свързани с този подклъстер APT29. Тази промяна несъмнено отразява големия интерес на SVR към получаване на информация от политически партии и други аспекти на гражданското общество, която би могла да подкрепи геополитическите цели на Москва.

Това развитие съвпада със съдебните действия, предприети в Германия, където прокурорите повдигнаха обвинения в шпионаж срещу военен офицер на име Томас Х. Той е обвинен в шпионска дейност, за която се твърди, че е извършвана от името на руските разузнавателни служби, включваща предаване на неуточнена чувствителна информация. Томас Х. беше задържан през август 2023 г.