Πίσω πόρτα WINELOADER
Οι κυβερνοεπιθέσεις που αναπτύσσουν την κερκόπορτα WINELOADER πιστεύεται ότι έχουν δημιουργηθεί από μια ομάδα χάκερ με δεσμούς με την Υπηρεσία Εξωτερικών Πληροφοριών της Ρωσίας (SVR). Αυτή η ομάδα, γνωστή ως Midnight Blizzard (αναφέρεται επίσης ως APT29, BlueBravo ή Cozy Bear), κέρδισε τη φήμη για τη συμμετοχή της σε παραβιάσεις όπως η SolarWinds και η Microsoft. Η κερκόπορτα έχει χρησιμοποιηθεί στο παρελθόν σε επιθέσεις που στόχευαν διπλωματικές οντότητες μέσω δολωμάτων phishing για δοκιμή κρασιού.
Οι ερευνητές ανακάλυψαν στοιχεία που υποδηλώνουν ότι η Midnight Blizzard χρησιμοποίησε αυτό το κακόβουλο λογισμικό για να στοχεύσει γερμανικά πολιτικά κόμματα στα τέλη Φεβρουαρίου 2024, χρησιμοποιώντας ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος διακοσμημένα με το λογότυπο της Χριστιανοδημοκρατικής Ένωσης (CDU). Αυτό σηματοδοτεί την πρώτη περίπτωση όπου το APT29 έχει παρατηρηθεί να στοχεύει συγκεκριμένα πολιτικά κόμματα, υποδηλώνοντας μια πιθανή αλλαγή στην επιχειρησιακή τους εστίαση μακριά από τις παραδοσιακές διπλωματικές αποστολές.
Το WINELOADER Backdoor μολύνει θύματα μέσω αλυσίδας επίθεσης πολλαπλών σταδίων
Τον Φεβρουάριο του 2024, οι ερευνητές αποκάλυψαν την ύπαρξη του WINELOADER ως μέρος μιας συνεχιζόμενης εκστρατείας κυβερνοκατασκοπείας που πιστεύεται ότι ξεκίνησε τον Ιούλιο του 2023. Αυτή η δραστηριότητα έχει αποδοθεί σε ένα σύμπλεγμα γνωστό ως SPIKEDWINE.
Η στρατηγική επίθεσης περιλαμβάνει μηνύματα ηλεκτρονικού ψαρέματος (phishing) που περιέχουν περιεχόμενο στη γερμανική γλώσσα που έχει σχεδιαστεί για να προσελκύει τους παραλήπτες με την υπόσχεση μιας πρόσκλησης για δείπνο. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν στόχο να εξαπατήσουν τους παραλήπτες να κάνουν κλικ σε έναν παραπλανητικό σύνδεσμο, οδηγώντας στη λήψη ενός αρχείου απατεώνων Εφαρμογής HTML (HTA) που ονομάζεται ROOTSAW (γνωστό και ως EnvyScout ). Το ROOTSAW χρησιμεύει ως αρχικό σταγονόμετρο, διευκολύνοντας την παράδοση του WINELOADER από έναν απομακρυσμένο διακομιστή.
Το γερμανόφωνο έγγραφο δελεασμού μέσα στα email phishing κατευθύνει τα θύματα σε ένα κακόβουλο αρχείο ZIP που φιλοξενείται σε έναν παραβιασμένο ιστότοπο που ελέγχεται από τους ηθοποιούς. Αυτό το αρχείο ZIP περιέχει το σταγονόμετρο ROOTSAW. Μετά την εκτέλεση, το ROOTSAW παραδίδει ένα έγγραφο δέλεαρ δεύτερου σταδίου με θέμα τη Χριστιανοδημοκρατική Ένωση (CDU) και στη συνέχεια αναπτύσσει το ωφέλιμο φορτίο WINELOADER.
Το WINELOADER, χρησιμοποιώντας πλευρική φόρτωση DLL μέσω του νόμιμου sqldumper.exe, διαθέτει δυνατότητες επικοινωνίας με διακομιστή που ελέγχεται από τους παράγοντες απειλής, επιτρέποντας την ανάκτηση και εκτέλεση πρόσθετων λειτουργικών μονάδων σε παραβιασμένους κεντρικούς υπολογιστές.
Η ανάλυση αποκαλύπτει ομοιότητες μεταξύ του WINELOADER και άλλων οικογενειών κακόβουλου λογισμικού που σχετίζονται με το APT29, όπως τα BURNTBATTER, MUSKYBEAT και BEATDROP, υπονοώντας έναν κοινό προγραμματιστή ή μεθοδολογία ανάπτυξης. Επιπλέον, το WINELOADER εντοπίστηκε σε μια επιχείρηση που στοχεύει διπλωματικές οντότητες σε διάφορες χώρες, όπως η Τσεχική Δημοκρατία, η Γερμανία, η Ινδία, η Ιταλία, η Λετονία και το Περού, στα τέλη Ιανουαρίου 2024.
Το APT29 ενδέχεται να επεκτείνει το πεδίο εφαρμογής του για να συμπεριλάβει νέους στόχους
Το ROOTSAW παραμένει ένα κρίσιμο συστατικό στις αρχικές στρατηγικές διείσδυσης του APT29 που στοχεύουν στη συλλογή ξένων πολιτικών πληροφοριών. Η χρήση αυτού του κακόβουλου λογισμικού πρώτου σταδίου για τη στόχευση γερμανικών πολιτικών κομμάτων σηματοδοτεί μια αξιοσημείωτη απόκλιση από τους τυπικούς διπλωματικούς στόχους που σχετίζονται με αυτό το υποσύστημα APT29. Αυτή η αλλαγή αντικατοπτρίζει αναμφίβολα το έντονο ενδιαφέρον του SVR για την απόκτηση πληροφοριών από πολιτικά κόμματα και άλλες πτυχές της κοινωνίας των πολιτών που θα μπορούσαν να ενισχύσουν τους γεωπολιτικούς στόχους της Μόσχας.
Αυτή η εξέλιξη συμπίπτει με τη νομική δράση που αναλήφθηκε στη Γερμανία, όπου οι εισαγγελείς κατέθεσαν κατηγορίες για κατασκοπεία εναντίον ενός στρατιωτικού αξιωματικού ονόματι Thomas H. Κατηγορείται για δραστηριότητες κατασκοπείας που φέρεται να διεξάγονται για λογαριασμό των ρωσικών υπηρεσιών πληροφοριών που περιλαμβάνουν τη μετάδοση απροσδιόριστων ευαίσθητων πληροφοριών. Ο Thomas H. συνελήφθη τον Αύγουστο του 2023.
