WINELOADER Takaovi

WINELOADER-takaoven käyttävien kyberhyökkäysten uskotaan olevan hakkerointiryhmä, jolla on yhteyksiä Venäjän ulkomaan tiedustelupalveluun (SVR). Tämä ryhmä, joka tunnetaan nimellä Midnight Blizzard (kutsutaan myös nimellä APT29, BlueBravo tai Cozy Bear), sai mainetta osallistumisestaan rikkomuksiin, kuten SolarWinds ja Microsoft. Takaovea on aiemmin käytetty hyökkäyksissä, jotka on kohdistettu diplomaattisiin tahoihin viininmaistajaisten tietojenkalasteluuistimien avulla.

Tutkijat ovat löytäneet todisteita, jotka viittaavat siihen, että Midnight Blizzard käytti tätä haittaohjelmaa Saksan poliittisten puolueiden kohdistamiseen helmikuun 2024 lopulla käyttämällä phishing-sähköpostiviestejä, jotka oli koristeltu Kristillisdemokraattisen unionin (CDU) logolla. Tämä on ensimmäinen tapaus, jossa APT29:n on havaittu kohdistuvan erityisesti poliittisiin puolueisiin, mikä viittaa mahdolliseen niiden toiminnan painopisteen siirtymiseen pois perinteisistä diplomaattisista edustustoista.

WINELOADER-takaovi tartuttaa uhreja monivaiheisen hyökkäysketjun kautta

Helmikuussa 2024 tutkijat paljastivat WINELOADERin olemassaolon osana käynnissä olevaa kybervakoilukampanjaa, jonka uskottiin alkaneen heinäkuussa 2023. Tämä toiminta on liitetty SPIKEDWINE-nimiseen klusteriin.

Hyökkäysstrategia sisältää phishing-sähköpostit, jotka sisältävät saksankielistä sisältöä, joka on suunniteltu houkuttelemaan vastaanottajia lupauksella illallisvastaanottokutsusta. Näillä sähköpostiviesteillä pyritään huijaamaan vastaanottajia napsauttamaan harhaanjohtavaa linkkiä, mikä johtaa ROOTSAW-nimisen HTA-tiedoston (tunnetaan myös nimellä EnvyScout ) lataamiseen. ROOTSAW toimii alustavana dropperina, joka helpottaa WINELOADERin toimittamista etäpalvelimelta.

Tietojenkalasteluviesteissä oleva saksankielinen houkutusasiakirja ohjaa uhrit haitalliseen ZIP-tiedostoon, joka on isännöity toimijoiden hallitsemalla vaarantuneella verkkosivustolla. Tämä ZIP-tiedosto sisältää ROOTSAW-pisaran. Toteutuksen jälkeen ROOTSAW toimittaa toisen vaiheen viehedokumentin, jonka teemana on kristillisdemokraattinen unioni (CDU) ja ottaa sen jälkeen käyttöön WINELOADER-hyötykuorman.

WINELOADER, joka hyödyntää DLL-sivulatausta laillisen sqldumper.exe-tiedoston kautta, pystyy muodostamaan yhteyden uhkatoimijoiden hallitseman palvelimen kanssa, mikä mahdollistaa lisämoduulien hakemisen ja suorittamisen vaarantuneissa isännissä.

Analyysi paljastaa yhtäläisyyksiä WINELOADERin ja muiden APT29:ään liittyvien haittaohjelmaperheiden, kuten BURNTBATTER, MUSKYBEAT ja BEATDROP, välillä, mikä viittaa yhteiseen kehittäjä- tai kehitysmetodologiaan. Lisäksi WINELOADER on tunnistettu operaatiossa, joka kohdistui diplomaattisiin yksiköihin eri maissa, mukaan lukien Tšekissä, Saksassa, Intiassa, Italiassa, Latviassa ja Perussa tammikuun 2024 lopulla.

APT29 saattaa laajentaa soveltamisalaansa uusiin kohteisiin

ROOTSAW on edelleen tärkeä osa APT29:n alkuperäisiä soluttautumisstrategioita, joiden tarkoituksena on kerätä ulkomaista poliittista tiedustelutietoa. Tämän ensimmäisen vaiheen haittaohjelman käyttö Saksan poliittisten puolueiden kohdistamiseen merkitsee huomattavaa poikkeamaa tähän APT29-alaklusteriin liittyvistä tyypillisistä diplomaattisista kohteista. Tämä muutos ilmentää epäilemättä SVR:n suurta kiinnostusta saada poliittisilta puolueilta ja muilta kansalaisyhteiskunnan tahoilta tietoa, joka voisi tukea Moskovan geopoliittisia tavoitteita.

Tämä kehitys osuu samaan aikaan Saksassa toteutettujen oikeustoimien kanssa, jossa syyttäjät ovat nostaneet vakoilusyytteet Thomas H -nimistä upseeria vastaan. Häntä syytetään vakoilutoiminnasta, jonka väitetään suoritetun Venäjän tiedustelupalvelujen puolesta ja johon liittyy määrittelemättömien arkaluonteisten tietojen välittämistä. Thomas H. otettiin kiinni elokuussa 2023.