WINELOADER Hátsó ajtó

A WINELOADER hátsó ajtót bevető kibertámadásokat feltehetően egy hackercsoport indította el, amely kapcsolatban áll az orosz Foreign Intelligence Service (SVR) szolgálatával. Ez a Midnight Blizzard néven ismert csoport (más néven APT29, BlueBravo vagy Cozy Bear) az olyan jogsértésekben való részvételével szerzett hírnevet, mint a SolarWinds és a Microsoft. A hátsó ajtót korábban diplomáciai szervezeteket célzó támadásoknál használták, borkóstoló adathalász csalikon keresztül.

A kutatók olyan bizonyítékokat tártak fel, amelyek arra utalnak, hogy a Midnight Blizzard ezt a rosszindulatú programot használta német politikai pártok megcélzására 2024 februárjának végén, a Kereszténydemokrata Unió (CDU) logójával díszített adathalász e-mailekkel. Ez az első olyan eset, amikor az APT29-et kifejezetten politikai pártokra célozva figyelték meg, ami arra utal, hogy a műveleti fókusz potenciálisan eltér a hagyományos diplomáciai képviseletektől.

A WINELOADER Backdoor többlépcsős támadási láncon keresztül fertőzi meg az áldozatokat

2024 februárjában a kutatók felfedték a WINELOADER létezését egy folyamatban lévő kiberkémkedési kampány részeként, amely vélhetően 2023 júliusában kezdődött. Ezt a tevékenységet a SPIKEDWINE néven ismert klaszternek tulajdonították.

A támadási stratégia magában foglalja a német nyelvű tartalmat tartalmazó adathalász e-maileket, amelyek célja a címzettek csalogatása egy vacsorameghívás ígéretével. Ezeknek az e-maileknek az a célja, hogy rávegyék a címzetteket, hogy rákattintsanak egy megtévesztő linkre, ami egy ROOTSAW (más néven EnvyScout ) nevű HTML-alkalmazás (HTA) fájl letöltéséhez vezet. A ROOTSAW kezdeti dropperként szolgál, megkönnyítve a WINELOADER távoli szerverről történő kézbesítését.

Az adathalász e-mailekben található német nyelvű csalogató dokumentum egy rosszindulatú ZIP-fájlhoz irányítja az áldozatokat, amelyeket a szereplők által ellenőrzött, feltört webhelyen tárolnak. Ez a ZIP-fájl tartalmazza a ROOTSAW droppert. A végrehajtás után a ROOTSAW egy második lépcsős csalidokumentumot szállít a Kereszténydemokrata Unió (CDU) köré, majd ezt követően telepíti a WINELOADER rakományt.

A WINELOADER, amely a DLL oldalsó betöltést használja a legitim sqldumper.exe fájlon keresztül, képes kommunikációt létesíteni a fenyegetés szereplői által vezérelt szerverrel, lehetővé téve további modulok lekérését és végrehajtását a feltört gazdagépeken.

Az elemzés hasonlóságokat tár fel a WINELOADER és az APT29-hez kapcsolódó más rosszindulatú programcsaládok között, mint például a BURNTBATTER, MUSKYBEAT és BEATDROP, ami megosztott fejlesztői vagy fejlesztési módszertanra utal. Ezenkívül a WINELOADER-t azonosították egy olyan művelet során, amely különböző országok diplomáciai egységeit célozta meg, köztük a Cseh Köztársaságban, Németországban, Indiában, Olaszországban, Lettországban és Peruban 2024 januárjának végén.

Az APT29 bővítheti hatókörét új célokkal

A ROOTSAW továbbra is kritikus eleme az APT29 kezdeti beszivárgási stratégiájának, amelynek célja a külföldi politikai hírszerzés volt. Ennek az első fokozatú rosszindulatú programnak a német politikai pártok megcélzására történő felhasználása jelentős eltérést jelent az APT29 alklaszterhez kapcsolódó tipikus diplomáciai célpontoktól. Ez az elmozdulás kétségtelenül tükrözi az SVR élénk érdeklődését az iránt, hogy olyan információkat szerezzen politikai pártoktól és a civil társadalom más oldalaitól, amelyek megerősíthetik Moszkva geopolitikai céljait.

Ez a fejlemény egybeesik a Németországban meghozott jogi lépésekkel, ahol az ügyészek kémkedési vádat emeltek egy Thomas H nevű katonatiszt ellen. Azzal vádolják, hogy állítólag az orosz hírszerző szolgálatok nevében folytattak kémtevékenységet, és konkrétan meg nem határozott információk továbbításával járt. Thomas H.-t 2023 augusztusában fogták el.