WINELOADER در پشتی
اعتقاد بر این است که حملات سایبری با استقرار درب پشتی WINELOADER توسط یک گروه هکری با ارتباط با سرویس اطلاعات خارجی روسیه (SVR) راه اندازی شده است. این گروه که با نام Midnight Blizzard شناخته میشود (همچنین به نامهای APT29، BlueBravo یا Cozy Bear نیز شناخته میشود)، به دلیل دخالت در نقضهایی مانند SolarWinds و مایکروسافت به شهرت رسید. این درب پشتی قبلاً در حملاتی که نهادهای دیپلماتیک را از طریق فریب های فیشینگ مزه شراب هدف قرار می دهند، استفاده شده است.
محققان شواهدی را کشف کرده اند که نشان می دهد Midnight Blizzard از این بدافزار برای هدف قرار دادن احزاب سیاسی آلمان در اواخر فوریه 2024 با استفاده از ایمیل های فیشینگ مزین به آرم اتحادیه دموکرات مسیحی (CDU) استفاده کرده است. این اولین موردی است که APT29 به طور خاص احزاب سیاسی را هدف قرار می دهد، که نشان دهنده تغییر احتمالی در تمرکز عملیاتی آنها به دور از ماموریت های دیپلماتیک سنتی است.
درب پشتی WINELOADER قربانیان را از طریق زنجیره حمله چند مرحله ای آلوده می کند
در فوریه 2024، محققان وجود WINELOADER را به عنوان بخشی از یک کمپین جاسوسی سایبری در حال انجام که گمان می رود در ژوئیه 2023 آغاز شده است، فاش کردند. این فعالیت به خوشه ای به نام SPIKEDWINE نسبت داده شده است.
استراتژی حمله شامل ایمیل های فیشینگ حاوی محتوای آلمانی زبان است که برای جذب گیرندگان با وعده دعوت به شام طراحی شده است. هدف این ایمیلها فریب گیرندگان برای کلیک کردن روی یک پیوند فریبنده است که منجر به دانلود یک فایل برنامه کاربردی HTML (HTA) به نام ROOTSAW (همچنین به عنوان EnvyScout نیز شناخته میشود). ROOTSAW به عنوان قطره چکان اولیه عمل می کند و تحویل WINELOADER از یک سرور راه دور را تسهیل می کند.
سند فریب به زبان آلمانی در ایمیلهای فیشینگ قربانیان را به یک فایل ZIP مخرب هدایت میکند که در یک وبسایت در معرض خطر که توسط بازیگران کنترل میشود میزبانی میشود. این فایل ZIP حاوی قطره چکان ROOTSAW است. پس از اجرا، ROOTSAW یک سند فریبنده مرحله دوم را با موضوع اتحادیه دموکرات مسیحی (CDU) ارائه می کند و متعاقباً بار WINELOADER را مستقر می کند.
WINELOADER، با استفاده از بارگذاری جانبی DLL از طریق sqldumper.exe قانونی، دارای قابلیت هایی برای برقراری ارتباط با سروری است که توسط عوامل تهدید کنترل می شود، و امکان بازیابی و اجرای ماژول های اضافی را در هاست های در معرض خطر فراهم می کند.
تجزیه و تحلیل شباهتهای بین WINELOADER و سایر خانوادههای بدافزار مرتبط با APT29، مانند BURNTBATTER، MUSKYBEAT و BEATDROP را نشان میدهد که به یک توسعهدهنده یا متدولوژی توسعه مشترک اشاره میکند. علاوه بر این، WINELOADER در عملیاتی شناسایی شده است که نهادهای دیپلماتیک در کشورهای مختلف از جمله جمهوری چک، آلمان، هند، ایتالیا، لتونی و پرو را در اواخر ژانویه 2024 هدف قرار داده است.
APT29 ممکن است دامنه خود را برای گنجاندن اهداف جدید گسترش دهد
ROOTSAW یک جزء حیاتی در استراتژیهای نفوذ اولیه APT29 با هدف جمعآوری اطلاعات سیاسی خارجی است. استفاده از این بدافزار مرحله اول برای هدف قرار دادن احزاب سیاسی آلمان نشان دهنده انحراف قابل توجهی از اهداف دیپلماتیک معمولی مرتبط با این زیرخوشه APT29 است. این تغییر بدون شک نشان دهنده علاقه شدید SVR به کسب اطلاعات از احزاب سیاسی و سایر جنبه های جامعه مدنی است که می تواند اهداف ژئوپلیتیکی مسکو را تقویت کند.
این تحول مصادف است با اقدام قانونی انجام شده در آلمان، جایی که دادستان ها اتهامات جاسوسی را علیه یک افسر نظامی به نام توماس اچ تشکیل داده اند. توماس اچ در آگوست 2023 دستگیر شد.