WINELOADER Aizmugures durvis

Tiek uzskatīts, ka kiberuzbrukumus, izmantojot WINELOADER aizmugures durvis, veicis hakeru grupa, kas ir saistīta ar Krievijas Ārējās izlūkošanas dienestu (SVR). Šī grupa, kas pazīstama kā Midnight Blizzard (saukta arī par APT29, BlueBravo vai Cozy Bear), ieguva bēdīgu slavu, iesaistoties tādos pārkāpumos kā SolarWinds un Microsoft. Aizmugures durvis iepriekš tika izmantotas uzbrukumos, kuru mērķis ir diplomātiskās vienības, izmantojot vīna degustācijas pikšķerēšanas vilinājumus.

Pētnieki ir atklājuši pierādījumus, kas liecina, ka Midnight Blizzard izmantoja šo ļaunprogrammatūru, lai 2024. gada februāra beigās mērķētu uz Vācijas politiskajām partijām, izmantojot pikšķerēšanas e-pastus, kas rotāti ar Kristīgi demokrātiskās savienības (CDU) logotipu. Šis ir pirmais gadījums, kad APT29 ir novērots, vēršoties īpaši pret politiskajām partijām, kas liecina par iespējamu to darbības fokusa pāreju no tradicionālajām diplomātiskajām misijām.

WINELOADER Backdoor inficē upurus, izmantojot daudzpakāpju uzbrukuma ķēdi

2024. gada februārī pētnieki atklāja WINELOADER esamību kā daļu no notiekošas kiberspiegošanas kampaņas, kas, domājams, sākās 2023. gada jūlijā. Šī darbība tika attiecināta uz kopu, kas pazīstama kā SPIKEDWINE.

Uzbrukuma stratēģija ietver pikšķerēšanas e-pastus ar vācu valodas saturu, kas paredzēts, lai piesaistītu adresātus ar solījumu saņemt uzaicinājumu uz vakariņām. Šo e-pasta ziņojumu mērķis ir maldināt adresātus noklikšķināt uz maldinošas saites, kā rezultātā tiek lejupielādēts negodīgs HTML lietojumprogrammas (HTA) fails ar nosaukumu ROOTSAW (pazīstams arī kā EnvyScout ). ROOTSAW kalpo kā sākotnējais pilinātājs, atvieglojot WINELOADER piegādi no attālā servera.

Vācu valodas pievilināšanas dokuments pikšķerēšanas e-pastā novirza upurus uz ļaunprātīgu ZIP failu, kas mitināts uzlauztā vietnē, kuru kontrolē dalībnieki. Šajā ZIP failā ir ROOTSAW pilinātājs. Pēc izpildes ROOTSAW piegādā otrā posma pievilināšanas dokumentu, kura tēma ir Kristīgi demokrātiskā savienība (CDU), un pēc tam izvieto WINELOADER lietderīgo slodzi.

WINELOADER, izmantojot DLL sānu ielādi, izmantojot likumīgu sqldumper.exe, spēj izveidot saziņu ar serveri, kuru kontrolē apdraudējuma dalībnieki, ļaujot izgūt un izpildīt papildu moduļus uz kompromitētiem saimniekiem.

Analīze atklāj līdzības starp WINELOADER un citām ar APT29 saistītām ļaunprātīgas programmatūras ģimenēm, piemēram, BURNTBATTER, MUSKYBEAT un BEATDROP, norādot uz kopīgu izstrādātāju vai izstrādes metodoloģiju. Turklāt WINELOADER tika identificēts operācijā, kuras mērķis bija diplomātiskās vienības dažādās valstīs, tostarp Čehijā, Vācijā, Indijā, Itālijā, Latvijā un Peru, 2024. gada janvāra beigās.

APT29, iespējams, paplašinās savu darbības jomu, iekļaujot jaunus mērķus

ROOTSAW joprojām ir būtiska sastāvdaļa APT29 sākotnējās iefiltrēšanās stratēģijās, kuru mērķis ir vākt ārpolitisko izlūkdatu. Šīs pirmās pakāpes ļaunprogrammatūras izmantošana Vācijas politiskajām partijām iezīmē ievērojamu novirzi no tipiskajiem diplomātiskajiem mērķiem, kas saistīti ar šo APT29 apakšklasteri. Šīs pārmaiņas neapšaubāmi atspoguļo SVR lielo interesi iegūt informāciju no politiskajām partijām un citiem pilsoniskās sabiedrības aspektiem, kas varētu atbalstīt Maskavas ģeopolitiskos mērķus.

Šī attīstība sakrīt ar tiesvedību Vācijā, kur prokurori ir izvirzījuši apsūdzības spiegošanā pret militāro virsnieku Tomasu H. Viņš tiek apsūdzēts spiegošanas darbībās, kas, iespējams, veiktas Krievijas izlūkdienestu vārdā un ietverot neprecizētas sensitīvas informācijas nosūtīšanu. Tomass H. tika aizturēts 2023. gada augustā.