WINELOADER در پشتی

اعتقاد بر این است که حملات سایبری با استقرار درب پشتی WINELOADER توسط یک گروه هکری با ارتباط با سرویس اطلاعات خارجی روسیه (SVR) راه اندازی شده است. این گروه که با نام Midnight Blizzard شناخته می‌شود (همچنین به نام‌های APT29، BlueBravo یا Cozy Bear نیز شناخته می‌شود)، به دلیل دخالت در نقض‌هایی مانند SolarWinds و مایکروسافت به شهرت رسید. این درب پشتی قبلاً در حملاتی که نهادهای دیپلماتیک را از طریق فریب های فیشینگ مزه شراب هدف قرار می دهند، استفاده شده است.

محققان شواهدی را کشف کرده اند که نشان می دهد Midnight Blizzard از این بدافزار برای هدف قرار دادن احزاب سیاسی آلمان در اواخر فوریه 2024 با استفاده از ایمیل های فیشینگ مزین به آرم اتحادیه دموکرات مسیحی (CDU) استفاده کرده است. این اولین موردی است که APT29 به طور خاص احزاب سیاسی را هدف قرار می دهد، که نشان دهنده تغییر احتمالی در تمرکز عملیاتی آنها به دور از ماموریت های دیپلماتیک سنتی است.

درب پشتی WINELOADER قربانیان را از طریق زنجیره حمله چند مرحله ای آلوده می کند

در فوریه 2024، محققان وجود WINELOADER را به عنوان بخشی از یک کمپین جاسوسی سایبری در حال انجام که گمان می رود در ژوئیه 2023 آغاز شده است، فاش کردند. این فعالیت به خوشه ای به نام SPIKEDWINE نسبت داده شده است.

استراتژی حمله شامل ایمیل های فیشینگ حاوی محتوای آلمانی زبان است که برای جذب گیرندگان با وعده دعوت به شام طراحی شده است. هدف این ایمیل‌ها فریب گیرندگان برای کلیک کردن روی یک پیوند فریبنده است که منجر به دانلود یک فایل برنامه کاربردی HTML (HTA) به نام ROOTSAW (همچنین به عنوان EnvyScout نیز شناخته می‌شود). ROOTSAW به عنوان قطره چکان اولیه عمل می کند و تحویل WINELOADER از یک سرور راه دور را تسهیل می کند.

سند فریب به زبان آلمانی در ایمیل‌های فیشینگ قربانیان را به یک فایل ZIP مخرب هدایت می‌کند که در یک وب‌سایت در معرض خطر که توسط بازیگران کنترل می‌شود میزبانی می‌شود. این فایل ZIP حاوی قطره چکان ROOTSAW است. پس از اجرا، ROOTSAW یک سند فریبنده مرحله دوم را با موضوع اتحادیه دموکرات مسیحی (CDU) ارائه می کند و متعاقباً بار WINELOADER را مستقر می کند.

WINELOADER، با استفاده از بارگذاری جانبی DLL از طریق sqldumper.exe قانونی، دارای قابلیت هایی برای برقراری ارتباط با سروری است که توسط عوامل تهدید کنترل می شود، و امکان بازیابی و اجرای ماژول های اضافی را در هاست های در معرض خطر فراهم می کند.

تجزیه و تحلیل شباهت‌های بین WINELOADER و سایر خانواده‌های بدافزار مرتبط با APT29، مانند BURNTBATTER، MUSKYBEAT و BEATDROP را نشان می‌دهد که به یک توسعه‌دهنده یا متدولوژی توسعه مشترک اشاره می‌کند. علاوه بر این، WINELOADER در عملیاتی شناسایی شده است که نهادهای دیپلماتیک در کشورهای مختلف از جمله جمهوری چک، آلمان، هند، ایتالیا، لتونی و پرو را در اواخر ژانویه 2024 هدف قرار داده است.

APT29 ممکن است دامنه خود را برای گنجاندن اهداف جدید گسترش دهد

ROOTSAW یک جزء حیاتی در استراتژی‌های نفوذ اولیه APT29 با هدف جمع‌آوری اطلاعات سیاسی خارجی است. استفاده از این بدافزار مرحله اول برای هدف قرار دادن احزاب سیاسی آلمان نشان دهنده انحراف قابل توجهی از اهداف دیپلماتیک معمولی مرتبط با این زیرخوشه APT29 است. این تغییر بدون شک نشان دهنده علاقه شدید SVR به کسب اطلاعات از احزاب سیاسی و سایر جنبه های جامعه مدنی است که می تواند اهداف ژئوپلیتیکی مسکو را تقویت کند.

این تحول مصادف است با اقدام قانونی انجام شده در آلمان، جایی که دادستان ها اتهامات جاسوسی را علیه یک افسر نظامی به نام توماس اچ تشکیل داده اند. توماس اچ در آگوست 2023 دستگیر شد.