WINELOADER Galinės durys

Manoma, kad kibernetines atakas, panaudojant WINELOADER užpakalines duris, surengė programišių grupė, susijusi su Rusijos užsienio žvalgybos tarnyba (SVR). Ši grupė, žinoma kaip Midnight Blizzard (taip pat vadinama APT29, BlueBravo arba Cozy Bear), išgarsėjo dėl dalyvavimo tokiuose pažeidimuose kaip „SolarWinds“ ir „Microsoft“. Užpakalinės durys anksčiau buvo naudojamos atakoms, nukreiptoms į diplomatinius subjektus per vyno degustacijos sukčiavimo jaukus.

Tyrėjai aptiko įrodymų, kad Midnight Blizzard 2024 m. vasario pabaigoje panaudojo šią kenkėjišką programą Vokietijos politinėms partijoms, naudodama sukčiavimo el. laiškus, papuoštus Krikščionių demokratų sąjungos (CDU) logotipu. Tai pirmasis atvejis, kai pastebėta, kad APT29 taikosi konkrečiai į politines partijas, o tai rodo galimą jų veiklos dėmesio perkėlimą nuo tradicinių diplomatinių atstovybių.

WINELOADER Backdoor užkrečia aukas per daugiapakopę atakų grandinę

2024 m. vasario mėn. tyrėjai atskleidė WINELOADER egzistavimą kaip vykstančios kibernetinio šnipinėjimo kampanijos dalį, kuri, kaip manoma, prasidėjo 2023 m. liepos mėn. Ši veikla buvo priskirta klasteriui, žinomam kaip SPIKEDWINE.

Atakos strategija apima sukčiavimo el. laiškus, kuriuose yra vokiečių kalbos turinio, skirto suvilioti gavėjus pažadu pakviesti vakarienės priėmimą. Šiais el. laiškais siekiama apgauti gavėjus, kad jie spustelėtų apgaulingą nuorodą, o tai paskatintų atsisiųsti nesąžiningą HTML programos (HTA) failą pavadinimu ROOTSAW (taip pat žinomas kaip EnvyScout ). ROOTSAW tarnauja kaip pradinis lašintuvas, palengvinantis WINELOADER pristatymą iš nuotolinio serverio.

Sukčiavimo el. laiškuose esantis viliojimo dokumentas vokiečių kalba nukreipia aukas į kenkėjišką ZIP failą, patalpintą pažeistoje svetainėje, kurią kontroliuoja veikėjai. Šiame ZIP faile yra ROOTSAW lašintuvas. Įvykdžius, ROOTSAW pristato antrojo etapo viliojimo dokumentą, kurio tema yra Krikščionių demokratų sąjunga (CDU), ir vėliau panaudoja WINELOADER naudingąjį krovinį.

WINELOADER, naudodamas DLL šoninį įkėlimą per teisėtą sqldumper.exe, turi galimybę užmegzti ryšį su serveriu, kurį valdo grėsmės veikėjai, todėl galima gauti ir vykdyti papildomus modulius pažeistuose pagrindiniuose kompiuteriuose.

Analizė atskleidžia panašumus tarp WINELOADER ir kitų kenkėjiškų programų šeimų, susijusių su APT29, pvz., BURNTBATTER, MUSKYBEAT ir BEATDROP, o tai rodo bendrą kūrėją arba kūrimo metodiką. Be to, WINELOADER buvo nustatytas 2024 m. sausio pabaigoje vykdant operaciją, nukreiptą į diplomatinius subjektus įvairiose šalyse, įskaitant Čekiją, Vokietiją, Indiją, Italiją, Latviją ir Peru.

APT29 gali išplėsti savo taikymo sritį ir įtraukti naujus tikslus

ROOTSAW išlieka svarbiu APT29 įsiskverbimo strategijų komponentu, skirtu užsienio politinei žvalgybai rinkti. Šios pirmos pakopos kenkėjiškos programinės įrangos panaudojimas Vokietijos politinėms partijoms yra žymus nukrypimas nuo tipiškų diplomatinių taikinių, susijusių su šiuo APT29 pogrupiu. Šis pokytis neabejotinai atspindi didelį SVR susidomėjimą gauti informaciją iš politinių partijų ir kitų pilietinės visuomenės atstovų, kurie galėtų sustiprinti Maskvos geopolitinius tikslus.

Ši raida sutampa su teisiniais veiksmais, kurių imtasi Vokietijoje, kur prokurorai pareiškė kaltinimus šnipinėjimu karininkui Thomas H. Jis kaltinamas šnipinėjimu, tariamai vykdomu Rusijos žvalgybos tarnybų vardu, susijusiu su nepatikslintos jautrios informacijos perdavimu. Thomas H. buvo sulaikytas 2023 m. rugpjūčio mėn.