WINELOADER Backdoor

Si ritiene che gli attacchi informatici che implementano la backdoor WINELOADER siano stati organizzati da un gruppo di hacker con legami con il Foreign Intelligence Service (SVR) russo. Questo gruppo, noto come Midnight Blizzard (noto anche come APT29, BlueBravo o Cozy Bear), ha acquisito notorietà per il suo coinvolgimento in violazioni come SolarWinds e Microsoft. La backdoor è stata precedentemente utilizzata in attacchi contro entità diplomatiche attraverso esche di phishing per la degustazione di vini.

I ricercatori hanno scoperto prove che suggeriscono che Midnight Blizzard abbia utilizzato questo malware per prendere di mira i partiti politici tedeschi alla fine di febbraio 2024, utilizzando e-mail di phishing adornate con il logo dell'Unione Cristiano-Democratica (CDU). Ciò segna il primo caso in cui è stato osservato che l’APT29 prendeva di mira specificamente i partiti politici, suggerendo un potenziale spostamento del loro focus operativo lontano dalle tradizionali missioni diplomatiche.

La backdoor WINELOADER infetta le vittime tramite una catena di attacco a più fasi

Nel febbraio 2024, i ricercatori hanno rivelato l'esistenza di WINELOADER come parte di una campagna di spionaggio informatico in corso che si ritiene sia iniziata nel luglio 2023. Questa attività è stata attribuita a un cluster noto come SPIKEDWINE.

La strategia di attacco prevede e-mail di phishing con contenuti in lingua tedesca progettati per attirare i destinatari con la promessa di un invito a cena. Queste e-mail mirano a indurre i destinatari a fare clic su un collegamento ingannevole, portando al download di un file di applicazione HTML (HTA) non autorizzato denominato ROOTSAW (noto anche come EnvyScout ). ROOTSAW funge da dropper iniziale, facilitando la consegna di WINELOADER da un server remoto.

Il documento in lingua tedesca contenuto nelle e-mail di phishing indirizza le vittime a un file ZIP dannoso ospitato su un sito Web compromesso controllato dagli autori. Questo file ZIP contiene il contagocce ROOTSAW. Dopo l'esecuzione, ROOTSAW consegna un documento di esca di seconda fase a tema Unione Cristiano-Democratica (CDU) e successivamente distribuisce il carico utile WINELOADER.

WINELOADER, utilizzando il caricamento laterale DLL tramite il legittimo sqldumper.exe, possiede la capacità di stabilire una comunicazione con un server controllato dagli autori delle minacce, consentendo il recupero e l'esecuzione di moduli aggiuntivi su host compromessi.

L'analisi rivela somiglianze tra WINELOADER e altre famiglie di malware associate ad APT29, come BURNTBATTER, MUSKYBEAT e BEATDROP, suggerendo uno sviluppatore o una metodologia di sviluppo condivisi. Inoltre, WINELOADER è stato identificato in un'operazione contro entità diplomatiche in vari paesi, tra cui Repubblica Ceca, Germania, India, Italia, Lettonia e Perù, alla fine di gennaio 2024.

APT29 potrebbe espandere il suo ambito per includere nuovi obiettivi

ROOTSAW rimane una componente fondamentale nelle strategie di infiltrazione iniziali di APT29 volte a raccogliere informazioni politiche straniere. L’utilizzo di questo malware di prima fase per prendere di mira i partiti politici tedeschi segna un notevole allontanamento dai tipici obiettivi diplomatici associati a questo sottocluster APT29. Questo cambiamento riflette senza dubbio il vivo interesse dell’SVR nell’acquisire informazioni dai partiti politici e da altri aspetti della società civile che potrebbero rafforzare gli obiettivi geopolitici di Mosca.

Questo sviluppo coincide con l'azione legale intrapresa in Germania, dove i pubblici ministeri hanno presentato accuse di spionaggio contro un ufficiale militare di nome Thomas H. È accusato di attività di spionaggio presumibilmente condotte per conto dei servizi segreti russi che comportavano la trasmissione di informazioni sensibili non specificate. Thomas H. è stato arrestato nell'agosto 2023.