WINELOADER Backdoor

Předpokládá se, že kybernetické útoky využívající zadní vrátka WINELOADER připravila hackerská skupina s vazbami na ruskou zahraniční zpravodajskou službu (SVR). Tato skupina, známá jako Midnight Blizzard (také označovaná jako APT29, BlueBravo nebo Cozy Bear), se proslavila svým zapojením do porušení, jako jsou SolarWinds a Microsoft. Zadní vrátka byla dříve používána při útocích zaměřených na diplomatické subjekty prostřednictvím phishingových návnad na ochutnávku vína.

Výzkumníci odhalili důkazy naznačující, že Midnight Blizzard použil tento malware k zacílení na německé politické strany koncem února 2024 pomocí phishingových e-mailů ozdobených logem Křesťanskodemokratické unie (CDU). Jde o první případ, kdy byl APT29 pozorován cíleně konkrétně na politické strany, což naznačuje potenciální posun v jejich operačním zaměření od tradičních diplomatických misí.

WINELOADER Backdoor infikuje oběti prostřednictvím vícefázového útočného řetězce

V únoru 2024 výzkumníci odhalili existenci WINELOADER jako součást probíhající kybernetické špionážní kampaně, o které se předpokládá, že začala v červenci 2023. Tato aktivita byla připsána klastru známému jako SPIKEDWINE.

Strategie útoku zahrnuje phishingové e-maily obsahující obsah v německém jazyce, jejichž cílem je nalákat příjemce příslibem pozvánky na večeři. Cílem těchto e-mailů je přimět příjemce, aby klikli na klamavý odkaz, což vede ke stažení souboru nepoctivého HTML aplikace (HTA) s názvem ROOTSAW (také známého jako EnvyScout ). ROOTSAW slouží jako počáteční kapátko, které usnadňuje doručení WINELOADER ze vzdáleného serveru.

Německý návnadový dokument v phishingových e-mailech nasměruje oběti na škodlivý soubor ZIP hostovaný na kompromitované webové stránce kontrolované herci. Tento soubor ZIP obsahuje kapátko ROOTSAW. Po provedení ROOTSAW dodá dokument s návnadou druhé fáze s tématikou Křesťanskodemokratické unie (CDU) a následně nasadí užitečné zatížení WINELOADER.

WINELOADER, využívající boční načítání DLL prostřednictvím legitimního sqldumper.exe, má schopnosti navázat komunikaci se serverem řízeným aktéry hrozeb, což umožňuje vyhledání a spuštění dalších modulů na kompromitovaných hostitelích.

Analýza odhaluje podobnosti mezi WINELOADER a dalšími rodinami malwaru spojenými s APT29, jako jsou BURNTBATTER, MUSKYBEAT a BEATDROP, což naznačuje sdílenou vývojářskou nebo vývojovou metodologii. WINELOADER byl navíc koncem ledna 2024 identifikován při operaci zaměřené na diplomatické subjekty v různých zemích, včetně České republiky, Německa, Indie, Itálie, Lotyšska a Peru.

APT29 může rozšiřovat svůj rozsah, aby zahrnoval nové cíle

ROOTSAW zůstává kritickou součástí počátečních infiltračních strategií APT29 zaměřených na shromažďování zahraničních politických informací. Využití tohoto malwaru první fáze k zacílení německých politických stran znamená výraznou odchylku od typických diplomatických cílů spojených s tímto subklastrem APT29. Tento posun nepochybně odráží živý zájem SVR o získávání informací od politických stran a dalších aspektů občanské společnosti, které by mohly posílit geopolitické cíle Moskvy.

Tento vývoj se shoduje s právními kroky podniknutými v Německu, kde žalobci vznesli obvinění ze špionáže proti vojenskému důstojníkovi jménem Thomas H. Je obviněn ze špionážních aktivit údajně prováděných jménem ruských zpravodajských služeb zahrnujících přenos blíže nespecifikovaných citlivých informací. Thomas H. byl zadržen v srpnu 2023.