WINELOADER דלת אחורית

לפי ההערכות, התקפות סייבר המפרסות את הדלת האחורית של WINELOADER הוקמו על ידי קבוצת פריצה בעלת קשרים עם שירות הביון החוץ של רוסיה (SVR). קבוצה זו, הידועה בשם Midnight Blizzard (המכונה גם APT29, BlueBravo או Cozy Bear), זכתה לשמצה בשל מעורבותה בהפרות כגון SolarWinds ו-Microsoft. הדלת האחורית שימשה בעבר בהתקפות נגד ישויות דיפלומטיות באמצעות פתיונות דיוג טעימות יין.

חוקרים חשפו ראיות המצביעות על כך ש-Midnight Blizzard השתמשה בתוכנה זדונית זו כדי להתמקד במפלגות פוליטיות בגרמניה בסוף פברואר 2024, תוך שימוש באימיילים דיוגים המעוטרים בלוגו של האיחוד הנוצרי-דמוקרטי (CDU). זה מציין את המקרה הראשון שבו APT29 נצפתה מכוונת למפלגות פוליטיות באופן ספציפי, מה שמצביע על שינוי פוטנציאלי במיקוד המבצעי שלהן הרחק ממשימות דיפלומטיות מסורתיות.

הדלת האחורית של WINELOADER מדביקה קורבנות באמצעות שרשרת התקפה רב-שלבית

בפברואר 2024, חוקרים חשפו את קיומו של WINELOADER כחלק ממסע ריגול סייבר מתמשך, שלדעתו החל ביולי 2023. פעילות זו יוחסה לאשכול המכונה SPIKEDWINE.

אסטרטגיית ההתקפה כוללת הודעות דיוג המכילות תוכן בשפה הגרמנית שנועדה לפתות נמענים בהבטחה להזמנה לקבלת ארוחת ערב. הודעות הדוא"ל הללו מטרתן להערים על נמענים ללחוץ על קישור מטעה, מה שמוביל להורדה של קובץ HTML אפליקציית HTML (HTA) נוכל בשם ROOTSAW (ידוע גם בשם EnvyScout ). ROOTSAW משמש כטפטף ראשוני, ומקל על אספקת WINELOADER משרת מרוחק.

מסמך הפיתוי בשפה הגרמנית בתוך הודעות ההתחזות מפנה את הקורבנות לקובץ ZIP זדוני המאוחסן באתר אינטרנט שנפגע בשליטת השחקנים. קובץ ZIP זה מכיל את הטפטפת ROOTSAW. לאחר ההוצאה להורג, ROOTSAW מספקת מסמך פיתוי שלב שני בנושא האיחוד הנוצרי-דמוקרטי (CDU) ובהמשך פורס את מטען ה-WINELOADER.

ל-WINELOADER, תוך שימוש בטעינת צד של DLL דרך הקובץ sqldumper.exe הלגיטימי, יש יכולות ליצור תקשורת עם שרת הנשלט על ידי גורמי האיום, מה שמאפשר אחזור וביצוע של מודולים נוספים על מארחים שנפרצו.

ניתוח חושף קווי דמיון בין WINELOADER למשפחות תוכנות זדוניות אחרות הקשורות ל-APT29, כגון BURNTBATTER, MUSKYBEAT ו-BEATDROP, מה שמרמז על מתודולוגיית מפתח או פיתוח משותפת. יתרה מזאת, WINELOADER זוהה במבצע המכוון לגורמים דיפלומטיים ברחבי מדינות שונות, כולל צ'כיה, גרמניה, הודו, איטליה, לטביה ופרו, בסוף ינואר 2024.

ייתכן ש-APT29 ירחיב את היקפו כדי לכלול יעדים חדשים

ROOTSAW נותר מרכיב קריטי באסטרטגיות ההסתננות הראשוניות של APT29 שמטרתן איסוף מודיעין פוליטי זר. השימוש בתוכנה זדונית זו בשלב ראשון כדי למקד למפלגות פוליטיות בגרמניה מסמן סטייה בולטת מהיעדים הדיפלומטיים האופייניים הקשורים לתת אשכול APT29 זה. שינוי זה משקף ללא ספק את העניין הרב של ה-SVR ברכישת מידע ממפלגות פוליטיות והיבטים אחרים של החברה האזרחית שיכולים לחזק את היעדים הגיאו-פוליטיים של מוסקבה.

התפתחות זו עולה בקנה אחד עם הליכים משפטיים שננקטו בגרמניה, שם הגישו תובעים אישומי ריגול נגד קצין צבאי בשם תומאס ה. הוא מואשם בפעילות ריגול שבוצעה לכאורה מטעם שירותי הביון הרוסיים, הכרוכה בהעברת מידע רגיש לא מוגדר. תומס ה' נתפס באוגוסט 2023.