WINELOADER Backdoor

Vjeruje se da je kibernetičke napade pomoću stražnjih vrata WINELOADER postavila hakerska skupina povezana s ruskom obavještajnom službom za vanjske poslove (SVR). Ova grupa, poznata kao Midnight Blizzard (također poznata kao APT29, BlueBravo ili Cozy Bear), postala je poznata po svojoj umiješanosti u kršenja kao što su SolarWinds i Microsoft. Stražnja vrata već su korištena u napadima usmjerenim na diplomatske entitete putem mamaca za krađu identiteta kušanja vina.

Istraživači su otkrili dokaze koji sugeriraju da je Midnight Blizzard koristio ovaj zlonamjerni softver za ciljanje njemačkih političkih stranaka krajem veljače 2024., koristeći phishing e-poštu ukrašenu logom Kršćansko-demokratske unije (CDU). Ovo označava prvi slučaj u kojem je primijećeno da APT29 cilja posebno na političke stranke, što sugerira potencijalni pomak u njihovom operativnom fokusu od tradicionalnih diplomatskih misija.

WINELOADER Backdoor inficira žrtve putem lanca napada u više faza

U veljači 2024. istraživači su otkrili postojanje WINELOADER-a kao dio tekuće kampanje cyber špijunaže za koju se vjeruje da je započela u srpnju 2023. Ta se aktivnost pripisuje klasteru poznatom kao SPIKEDWINE.

Strategija napada uključuje phishing e-poštu sa sadržajem na njemačkom jeziku koji je osmišljen da namami primatelje obećanjem pozivnice na večeru. Ove e-poruke imaju za cilj prevariti primatelje da kliknu na varljivu poveznicu, što dovodi do preuzimanja datoteke lažne HTML aplikacije (HTA) pod nazivom ROOTSAW (također poznate kao EnvyScout ). ROOTSAW služi kao početna kapaljka, olakšavajući isporuku WINELOADER-a s udaljenog poslužitelja.

Mamljivi dokument na njemačkom jeziku unutar phishing e-pošte usmjerava žrtve na zlonamjernu ZIP datoteku koja se nalazi na kompromitiranoj web stranici koju kontroliraju akteri. Ova ZIP datoteka sadrži ROOTSAW dropper. Nakon izvršenja, ROOTSAW isporučuje dokument primamljivanja druge faze koji se tematizira oko Kršćansko-demokratske unije (CDU) i nakon toga postavlja korisni teret WINELOADER.

WINELOADER, koristeći bočno učitavanje DLL-a kroz legitimni sqldumper.exe, posjeduje mogućnosti za uspostavljanje komunikacije s poslužiteljem kojim upravljaju prijetnje, omogućujući dohvaćanje i izvršavanje dodatnih modula na kompromitiranim hostovima.

Analiza otkriva sličnosti između WINELOADER-a i drugih obitelji zlonamjernog softvera povezanih s APT29, kao što su BURNTBATTER, MUSKYBEAT i BEATDROP, nagovještavajući zajedničkog programera ili metodologiju razvoja. Nadalje, WINELOADER je identificiran u operaciji usmjerenoj na diplomatske entitete u raznim zemljama, uključujući Češku, Njemačku, Indiju, Italiju, Latviju i Peru, krajem siječnja 2024.

APT29 možda proširuje svoj opseg kako bi uključio nove ciljeve

ROOTSAW ostaje kritična komponenta u početnim strategijama infiltracije APT29 usmjerenim na prikupljanje stranih političkih obavještajnih podataka. Korištenje ovog zlonamjernog softvera u prvoj fazi za ciljanje njemačkih političkih stranaka značajno odstupa od tipičnih diplomatskih ciljeva povezanih s ovim APT29 potklasterom. Ova promjena nedvojbeno odražava veliki interes SVR-a za dobivanje informacija od političkih stranaka i drugih aspekata civilnog društva koje bi mogle poduprijeti geopolitičke ciljeve Moskve.

Ovaj razvoj događaja podudara se s pravnim postupkom poduzetim u Njemačkoj, gdje su tužitelji podigli optužbe za špijunažu protiv vojnog časnika po imenu Thomas H. Optužen je za špijunske aktivnosti navodno provedene u ime ruskih obavještajnih službi koje uključuju prijenos neodređenih osjetljivih informacija. Thomas H. je uhićen u kolovozu 2023.