WINELOADER Tagauks

Arvatakse, et WINELOADERi tagaukse kasutusele võtnud küberrünnakud korraldas häkkimisrühmitus, kellel on sidemed Venemaa välisluureteenistusega (SVR). See Midnight Blizzard (mida nimetatakse ka kui APT29, BlueBravo või Cozy Bear) grupp sai tuntuks oma osaluse tõttu sellistes rikkumistes nagu SolarWinds ja Microsoft. Tagaust on varem kasutatud diplomaatiliste üksuste sihikule suunatud rünnakutes veinimaitsvate andmepüügipeibutiste kaudu.

Teadlased on avastanud tõendeid, mis viitavad sellele, et Midnight Blizzard kasutas seda pahavara 2024. aasta veebruari lõpus Saksamaa erakondade sihtimiseks, kasutades andmepüügimeile, mida kaunistas Kristlik-Demokraatliku Liidu (CDU) logo. See on esimene juhtum, kus APT29 on täheldatud konkreetselt poliitiliste parteide sihtrühmana, mis viitab võimalikule tegevuse fookuse nihutamisele traditsioonilistelt diplomaatilistelt esindustelt.

WINELOADER tagauks nakatab ohvreid mitmeastmelise ründeahela kaudu

2024. aasta veebruaris avalikustasid teadlased WINELOADERi olemasolu osana käimasolevast küberspionaažikampaaniast, mis arvatavasti algas 2023. aasta juulis. See tegevus on omistatud klastrile, mida tuntakse SPIKEDWINE nime all.

Rünnakustrateegia hõlmab saksakeelset sisu sisaldavaid andmepüügimeile, mis on mõeldud adressaatide meelitamiseks õhtusöögi vastuvõtukutse lubamisega. Nende meilide eesmärk on meelitada adressaate klõpsama petlikul lingil, mille tulemusel laaditakse alla petturliku HTML-rakenduse (HTA) fail nimega ROOTSAW (tuntud ka kui EnvyScout ). ROOTSAW toimib esialgse tilgutajana, hõlbustades WINELOADERi kohaletoimetamist kaugserverist.

Andmepüügimeilides sisalduv saksakeelne peibutusdokument suunab ohvrid pahatahtlikule ZIP-failile, mida majutatakse ohustatud veebisaidil, mida juhivad näitlejad. See ZIP-fail sisaldab ROOTSAW tilgutit. Täitmisel edastab ROOTSAW Kristlik-Demokraatliku Liidu (CDU) teemalise teise etapi peibutusdokumendi ja kasutab seejärel WINELOADERi kasulikku lasti.

WINELOADER, mis kasutab DLL-i külglaadimist legitiimse faili sqldumper.exe kaudu, suudab luua sidet ohutegurite juhitava serveriga, võimaldades hankida ja käivitada täiendavaid mooduleid ohustatud hostidel.

Analüüs paljastab sarnasusi WINELOADERi ja teiste APT29-ga seotud pahavaraperekondade (nt BURNTBATTER, MUSKYBEAT ja BEATDROP) vahel, mis viitab ühisele arendajale või arendusmetoodikale. Lisaks tuvastati WINELOADER 2024. aasta jaanuari lõpus operatsioonis, mis oli suunatud diplomaatilistele üksustele erinevates riikides, sealhulgas Tšehhi Vabariigis, Saksamaal, Indias, Itaalias, Lätis ja Peruus.

APT29 võib laiendada oma ulatust, et hõlmata uusi sihtmärke

ROOTSAW jääb kriitiliseks komponendiks APT29 esialgsetes imbumisstrateegiates, mille eesmärk on koguda välispoliitilise luureandmeid. Selle esimese astme pahavara kasutamine Saksa erakondade sihtimiseks tähistab märkimisväärset kõrvalekallet selle APT29 alamklastriga seotud tüüpilistest diplomaatilistest sihtmärkidest. See nihe peegeldab kahtlemata SVR-i suurt huvi saada erakondadelt ja muudelt kodanikuühiskonna tahkudelt teavet, mis võiks toetada Moskva geopoliitilisi eesmärke.

See areng langeb kokku Saksamaal võetud õiguslike meetmetega, kus prokurörid on esitanud spionaažisüüdistuse sõjaväeohvitserile nimega Thomas H. Teda süüdistatakse spionaažitegevuses, mida väidetavalt viidi läbi Venemaa luureteenistuste nimel, mis hõlmas määratlemata tundliku teabe edastamist. Thomas H. peeti kinni 2023. aasta augustis.