WINELOADER Backdoor

Es creu que els ciberatacs que despleguen la porta del darrere WINELOADER els ha creat un grup de pirateria informàtica vinculat al Servei d'Intel·ligència Exterior (SVR) de Rússia. Aquest grup, conegut com Midnight Blizzard (també conegut com APT29, BlueBravo o Cozy Bear), va guanyar notorietat per la seva implicació en infraccions com SolarWinds i Microsoft. La porta del darrere s'ha utilitzat anteriorment en atacs dirigits a entitats diplomàtiques mitjançant esquers de pesca per degustar vins.

Els investigadors han descobert proves que suggereixen que Midnight Blizzard va utilitzar aquest programari maliciós per apuntar-se a partits polítics alemanys a finals de febrer de 2024, utilitzant correus electrònics de pesca adornats amb el logotip de la Unió Demòcrata Cristiana (CDU). Aquesta és la primera instància en què s'ha observat l'APT29 dirigint-se específicament a partits polítics, cosa que suggereix un possible canvi en el seu enfocament operatiu lluny de les missions diplomàtiques tradicionals.

El backdoor WINELOADER infecta les víctimes mitjançant una cadena d'atac en diverses etapes

El febrer de 2024, els investigadors van revelar l'existència de WINELOADER com a part d'una campanya d'espionatge cibernètic en curs que es creu que va començar el juliol de 2023. Aquesta activitat s'ha atribuït a un clúster conegut com SPIKEDWINE.

L'estratègia d'atac implica correus electrònics de pesca que contenen contingut en alemany dissenyat per atraure els destinataris amb la promesa d'una invitació a la recepció del sopar. Aquests correus electrònics tenen com a objectiu enganyar els destinataris perquè facin clic en un enllaç enganyós, la qual cosa condueix a la descàrrega d'un fitxer d'aplicació HTML (HTA) maliciós anomenat ROOTSAW (també conegut com EnvyScout ). ROOTSAW serveix com a comptagotes inicial, facilitant el lliurament de WINELOADER des d'un servidor remot.

El document d'atracció en llengua alemanya dels correus electrònics de pesca dirigeix les víctimes a un fitxer ZIP maliciós allotjat en un lloc web compromès controlat pels actors. Aquest fitxer ZIP conté el comptagotes ROOTSAW. Després de l'execució, ROOTSAW lliura un document d'atracció de segona etapa temàtic sobre la Unió Demòcrata Cristiana (CDU) i, posteriorment, desplega la càrrega útil WINELOADER.

WINELOADER, que utilitza la càrrega lateral de DLL a través del legítim sqldumper.exe, té capacitats per establir comunicació amb un servidor controlat pels actors de l'amenaça, permetent la recuperació i l'execució de mòduls addicionals en amfitrions compromeses.

L'anàlisi revela similituds entre WINELOADER i altres famílies de programari maliciós associades a APT29, com ara BURNTBATTER, MUSKYBEAT i BEATDROP, que insinuen un desenvolupador o una metodologia de desenvolupament compartida. A més, WINELOADER s'ha identificat en una operació dirigida a entitats diplomàtiques de diversos països, com ara la República Txeca, Alemanya, l'Índia, Itàlia, Letònia i el Perú, a finals de gener de 2024.

APT29 pot estar ampliant el seu abast per incloure nous objectius

ROOTSAW segueix sent un component crític en les estratègies inicials d'infiltració d'APT29 destinades a reunir intel·ligència política estrangera. La utilització d'aquest programari maliciós de primera etapa per dirigir-se als partits polítics alemanys marca una diferència notable dels objectius diplomàtics típics associats amb aquest subclúster APT29. Sens dubte, aquest canvi reflecteix el gran interès de l'SVR per obtenir informació dels partits polítics i d'altres facetes de la societat civil que puguin reforçar els objectius geopolítics de Moscou.

Aquesta novetat coincideix amb les accions legals iniciades a Alemanya, on els fiscals han presentat càrrecs d'espionatge contra un oficial militar anomenat Thomas H. Se l'acusen d'activitats d'espionatge suposadament realitzades en nom dels serveis d'intel·ligència russos que impliquen la transmissió d'informació sensible no especificada. Thomas H. va ser detingut l'agost de 2023.