WINELOADER Bagdør

Cyberangreb, der implementerer WINELOADER-bagdøren, menes at være oprettet af en hackergruppe med forbindelser til Ruslands Foreign Intelligence Service (SVR). Denne gruppe, kendt som Midnight Blizzard (også omtalt som APT29, BlueBravo eller Cozy Bear), blev kendt for deres involvering i brud som SolarWinds og Microsoft. Bagdøren er tidligere blevet brugt i angreb rettet mod diplomatiske enheder gennem vinsmagende phishing-lokker.

Forskere har afsløret beviser, der tyder på, at Midnight Blizzard brugte denne malware til at målrette mod tyske politiske partier i slutningen af februar 2024 ved at bruge phishing-e-mails prydet med logoet fra Christian Democratic Union (CDU). Dette markerer det første tilfælde, hvor APT29 er blevet observeret målrettet mod politiske partier, hvilket tyder på et potentielt skift i deres operationelle fokus væk fra traditionelle diplomatiske missioner.

WINELOADER-bagdøren inficerer ofre via flertrins angrebskæde

I februar 2024 afslørede forskere eksistensen af WINELOADER som en del af en igangværende cyberspionagekampagne, der menes at være startet i juli 2023. Denne aktivitet er blevet tilskrevet en klynge kendt som SPIKEDWINE.

Angrebsstrategien involverer phishing-e-mails, der indeholder tysksproget indhold, designet til at lokke modtagere med løfte om en middagsinvitation. Disse e-mails har til formål at narre modtagere til at klikke på et vildledende link, hvilket fører til download af en falsk HTML-applikation (HTA)-fil ved navn ROOTSAW (også kendt som EnvyScout ). ROOTSAW fungerer som en indledende dropper, der letter leveringen af WINELOADER fra en fjernserver.

Det tysksprogede lokkedokument i phishing-e-mails dirigerer ofrene til en ondsindet ZIP-fil, der er hostet på et kompromitteret websted, der kontrolleres af skuespillerne. Denne ZIP-fil indeholder ROOTSAW-dråberen. Efter henrettelse leverer ROOTSAW et lokkedokument i anden fase med temaet Christian Democratic Union (CDU) og implementerer efterfølgende WINELOADER-nyttelasten.

WINELOADER, der bruger DLL-sideindlæsning gennem den legitime sqldumper.exe, besidder evner til at etablere kommunikation med en server styret af trusselsaktørerne, hvilket muliggør hentning og udførelse af yderligere moduler på kompromitterede værter.

Analyse afslører ligheder mellem WINELOADER og andre malware-familier forbundet med APT29, såsom BURNTBATTER, MUSKYBEAT og BEATDROP, hvilket antyder en delt udvikler- eller udviklingsmetodologi. Ydermere er WINELOADER blevet identificeret i en operation rettet mod diplomatiske enheder på tværs af forskellige lande, herunder Tjekkiet, Tyskland, Indien, Italien, Letland og Peru i slutningen af januar 2024.

APT29 udvider muligvis sit omfang til at inkludere nye mål

ROOTSAW er fortsat en kritisk komponent i APT29s indledende infiltrationsstrategier, der sigter mod at indsamle udenlandsk politisk efterretning. Brugen af denne første fase af malware til at målrette mod tyske politiske partier markerer en bemærkelsesværdig afvigelse fra de typiske diplomatiske mål forbundet med denne APT29-underklynge. Dette skift afspejler utvivlsomt SVR's store interesse i at indhente information fra politiske partier og andre facetter af civilsamfundet, der kunne styrke Moskvas geopolitiske mål.

Denne udvikling falder sammen med retslige skridt i Tyskland, hvor anklagere har rejst spionageanklager mod en militærofficer ved navn Thomas H. Han er anklaget for spionageaktiviteter, der angiveligt er udført på vegne af russiske efterretningstjenester, og som involverer overførsel af uspecificerede følsomme oplysninger. Thomas H. blev pågrebet i august 2023.