WINELOADER Backdoor

माना जाता है कि वाइनलोडर बैकडोर को तैनात करने वाले साइबर हमले रूस की विदेशी खुफिया सेवा (एसवीआर) से जुड़े एक हैकिंग समूह द्वारा स्थापित किए गए थे। मिडनाइट ब्लिज़ार्ड (जिसे APT29, ब्लूब्रावो, या कोज़ी बियर भी कहा जाता है) के नाम से जाना जाने वाला यह समूह, सोलरविंड्स और माइक्रोसॉफ्ट जैसे उल्लंघनों में अपनी भागीदारी के लिए बदनाम हुआ। पिछले दरवाजे का उपयोग पहले वाइन-चखने वाले फ़िशिंग लालच के माध्यम से राजनयिक संस्थाओं को लक्षित करने वाले हमलों में किया गया है।

शोधकर्ताओं ने इस बात के सबूत उजागर किए हैं कि मिडनाइट ब्लिज़ार्ड ने फरवरी 2024 के अंत में जर्मन राजनीतिक दलों को निशाना बनाने के लिए इस मैलवेयर का इस्तेमाल किया था, जिसमें क्रिश्चियन डेमोक्रेटिक यूनियन (सीडीयू) के लोगो से सजे फ़िशिंग ईमेल का इस्तेमाल किया गया था। यह पहला उदाहरण है जहां APT29 को विशेष रूप से राजनीतिक दलों को लक्षित करते हुए देखा गया है, जो पारंपरिक राजनयिक मिशनों से दूर उनके परिचालन फोकस में संभावित बदलाव का सुझाव देता है।

WINELOADER बैकडोर मल्टी-स्टेज अटैक चेन के माध्यम से पीड़ितों को संक्रमित करता है

फरवरी 2024 में, शोधकर्ताओं ने चल रहे साइबर जासूसी अभियान के हिस्से के रूप में WINELOADER के अस्तित्व का खुलासा किया, माना जाता है कि यह जुलाई 2023 में शुरू हुआ था। इस गतिविधि को SPIKEDWINE नामक एक क्लस्टर को जिम्मेदार ठहराया गया है।

हमले की रणनीति में जर्मन भाषा की सामग्री वाले फ़िशिंग ईमेल शामिल हैं जो रात्रिभोज के स्वागत निमंत्रण के वादे के साथ प्राप्तकर्ताओं को लुभाने के लिए डिज़ाइन किए गए हैं। इन ईमेल का उद्देश्य प्राप्तकर्ताओं को एक भ्रामक लिंक पर क्लिक करने के लिए प्रेरित करना है, जिससे ROOTSAW (जिसे EnvyScout के नाम से भी जाना जाता है) नामक एक नकली HTML एप्लिकेशन (HTA) फ़ाइल डाउनलोड हो जाती है। रूटसॉ एक प्रारंभिक ड्रॉपर के रूप में कार्य करता है, जो रिमोट सर्वर से वाइनलोडर की डिलीवरी की सुविधा प्रदान करता है।

फ़िशिंग ईमेल के भीतर जर्मन भाषा का लालच दस्तावेज़ पीड़ितों को अभिनेताओं द्वारा नियंत्रित एक समझौता वेबसाइट पर होस्ट की गई दुर्भावनापूर्ण ज़िप फ़ाइल तक ले जाता है। इस ज़िप फ़ाइल में रूटसॉ ड्रॉपर है। निष्पादन के बाद, रूटसॉ क्रिश्चियन डेमोक्रेटिक यूनियन (सीडीयू) पर आधारित दूसरे चरण का लालच दस्तावेज़ वितरित करता है और बाद में वाइनलोडर पेलोड को तैनात करता है।

WINELOADER, वैध sqldumper.exe के माध्यम से DLL साइड-लोडिंग का उपयोग करते हुए, खतरे वाले अभिनेताओं द्वारा नियंत्रित सर्वर के साथ संचार स्थापित करने की क्षमता रखता है, जिससे समझौता किए गए होस्ट पर अतिरिक्त मॉड्यूल की पुनर्प्राप्ति और निष्पादन सक्षम होता है।

विश्लेषण से WINELOADER और APT29 से जुड़े अन्य मैलवेयर परिवारों, जैसे BURNTBATTER, MUSKYBEAT, और BEATDROP के बीच समानता का पता चलता है, जो एक साझा डेवलपर या विकास पद्धति की ओर इशारा करता है। इसके अलावा, WINELOADER की पहचान जनवरी 2024 के अंत में चेक गणराज्य, जर्मनी, भारत, इटली, लातविया और पेरू सहित विभिन्न देशों में राजनयिक संस्थाओं को लक्षित करने वाले एक ऑपरेशन में की गई है।

APT29 नए लक्ष्यों को शामिल करने के लिए अपने दायरे का विस्तार कर सकता है

विदेशी राजनीतिक खुफिया जानकारी इकट्ठा करने के उद्देश्य से APT29 की प्रारंभिक घुसपैठ रणनीतियों में ROOTSAW एक महत्वपूर्ण घटक बना हुआ है। जर्मन राजनीतिक दलों को लक्षित करने के लिए इस प्रथम चरण के मैलवेयर का उपयोग इस APT29 उपसमूह से जुड़े विशिष्ट राजनयिक लक्ष्यों से एक उल्लेखनीय विचलन को दर्शाता है। यह बदलाव निस्संदेह राजनीतिक दलों और नागरिक समाज के अन्य पहलुओं से जानकारी प्राप्त करने में एसवीआर की गहरी रुचि को दर्शाता है जो मॉस्को के भू-राजनीतिक उद्देश्यों को बढ़ावा दे सकता है।

यह घटनाक्रम जर्मनी में की गई कानूनी कार्रवाई से मेल खाता है, जहां अभियोजकों ने थॉमस एच नामक एक सैन्य अधिकारी के खिलाफ जासूसी के आरोप दायर किए हैं। उन पर रूसी खुफिया सेवाओं की ओर से कथित तौर पर अनिर्दिष्ट संवेदनशील जानकारी के प्रसारण से संबंधित जासूसी गतिविधियों का आरोप लगाया गया है। थॉमस एच. को अगस्त 2023 में गिरफ्तार किया गया था।