WINELOADER Backdoor

WINELOADER 백도어를 배포하는 사이버 공격은 러시아 해외 정보국(SVR)과 연계된 해킹 그룹에 의해 구성된 것으로 추정됩니다. Midnight Blizzard (APT29, BlueBravo 또는 Cozy Bear라고도 함)로 알려진 이 그룹은 SolarWinds 및 Microsoft와 같은 침해 사건에 연루되어 악명을 얻었습니다. 이 백도어는 이전에 와인 시음 피싱 미끼를 통해 외교 기관을 대상으로 한 공격에 사용된 적이 있습니다.

연구원들은 Midnight Blizzard가 2024년 2월 말 독일 정당을 표적으로 삼기 위해 이 악성 코드를 활용했으며 기독민주연합(CDU) 로고로 장식된 피싱 이메일을 사용했다는 증거를 발견했습니다. 이는 APT29가 특히 정당을 표적으로 삼는 것이 관찰된 첫 번째 사례로, 이들의 작전 초점이 전통적인 외교 사절단에서 멀어질 가능성이 있음을 시사합니다.

WINELOADER 백도어는 다단계 공격 체인을 통해 피해자를 감염시킵니다.

2024년 2월, 연구원들은 2023년 7월에 시작된 것으로 추정되는 진행 중인 사이버 스파이 활동의 일환으로 WINELOADER의 존재를 공개했습니다. 이 활동은 SPIKEDWINE으로 알려진 클러스터에 기인합니다.

공격 전략에는 저녁 리셉션 초대를 약속하며 수신자를 유인하기 위해 고안된 독일어 콘텐츠가 포함된 피싱 이메일이 포함됩니다. 이러한 이메일의 목적은 수신자를 속여 사기성 링크를 클릭하도록 유도하여 ROOTSAW( EnvyScout 라고도 함)라는 악성 HTML 애플리케이션(HTA) 파일을 다운로드하도록 하는 것입니다. ROOTSAW는 초기 드로퍼 역할을 하여 원격 서버에서 WINELOADER 전달을 촉진합니다.

피싱 이메일에 포함된 독일어 미끼 문서는 공격자가 제어하는 손상된 웹사이트에 호스팅된 악성 ZIP 파일로 피해자를 연결합니다. 이 ZIP 파일에는 ROOTSAW 드로퍼가 포함되어 있습니다. 실행 시 ROOTSAW는 기독민주연합(CDU)을 주제로 한 2단계 미끼 문서를 전달한 후 WINELOADER 페이로드를 배포합니다.

합법적인 sqldumper.exe를 통해 DLL 사이드 로딩을 활용하는 WINELOADER는 위협 행위자가 제어하는 서버와의 통신을 설정하여 손상된 호스트에서 추가 모듈을 검색하고 실행할 수 있는 기능을 보유하고 있습니다.

분석 결과 WINELOADER와 BURNTBATTER, MUSKYBEAT, BEATDROP 등 APT29와 관련된 다른 악성 코드군 간의 유사점이 밝혀졌으며, 이는 공유 개발자 또는 개발 방법론을 암시합니다. 또한 WINELOADER는 2024년 1월 말 체코, 독일, 인도, 이탈리아, 라트비아, 페루 등 다양한 국가의 외교 기관을 대상으로 한 작전에서 확인되었습니다.

APT29는 새로운 표적을 포함하도록 범위를 확장할 수 있습니다

ROOTSAW는 외국 정치 정보 수집을 목표로 하는 APT29의 초기 침투 전략에서 여전히 중요한 구성 요소로 남아 있습니다. 독일 정당을 표적으로 삼기 위해 이 1단계 악성코드를 활용한 것은 이 APT29 하위 클러스터와 관련된 일반적인 외교적 표적으로는 눈에 띄게 벗어났습니다. 이러한 변화는 의심할 바 없이 모스크바의 지정학적 목표를 강화할 수 있는 정당과 시민 사회의 다른 측면으로부터 정보를 얻는 데 대한 SVR의 예리한 관심을 반영합니다.

이러한 발전은 검찰이 토마스 H라는 군 장교를 간첩 혐의로 기소한 독일에서 취해진 법적 조치와 일치합니다. 그는 불특정 민감한 정보의 전송과 관련하여 러시아 정보 기관을 대신하여 수행한 간첩 활동 혐의로 기소되었습니다. Thomas H.는 2023년 8월에 체포되었습니다.