WINELOADER Pintu Belakang

Serangan siber yang menggunakan pintu belakang WINELOADER dipercayai dibuat oleh kumpulan penggodam yang mempunyai hubungan dengan Perkhidmatan Perisikan Asing (SVR) Rusia. Kumpulan ini, yang dikenali sebagai Midnight Blizzard (juga dirujuk sebagai APT29, BlueBravo, atau Cozy Bear), mendapat kemasyhuran kerana penglibatan mereka dalam pelanggaran seperti SolarWinds dan Microsoft. Pintu belakang telah digunakan sebelum ini dalam serangan yang menyasarkan entiti diplomatik melalui gewang pancingan data rasa wain.

Penyelidik telah menemui bukti yang menunjukkan bahawa Midnight Blizzard menggunakan perisian hasad ini untuk menyasarkan parti politik Jerman pada akhir Februari 2024, menggunakan e-mel pancingan data yang dihiasi dengan logo Kesatuan Demokratik Kristian (CDU). Ini menandakan contoh pertama di mana APT29 telah diperhatikan menyasarkan parti politik secara khusus, mencadangkan potensi peralihan dalam fokus operasi mereka daripada misi diplomatik tradisional.

Pintu Belakang WINELOADER Menjangkiti Mangsa melalui Rantaian Serangan Berbilang peringkat

Pada Februari 2024, penyelidik mendedahkan kewujudan WINELOADER sebagai sebahagian daripada kempen pengintipan siber berterusan yang dipercayai telah bermula pada Julai 2023. Aktiviti ini telah dikaitkan dengan kluster yang dikenali sebagai SPIKEDWINE.

Strategi serangan melibatkan e-mel pancingan data yang mengandungi kandungan bahasa Jerman yang direka untuk memikat penerima dengan janji jemputan majlis makan malam. E-mel ini bertujuan untuk menipu penerima supaya mengklik pada pautan yang mengelirukan, yang membawa kepada muat turun fail Aplikasi HTML penyangak (HTA) bernama ROOTSAW (juga dikenali sebagai EnvyScout ). ROOTSAW berfungsi sebagai penitis awal, memudahkan penghantaran WINELOADER dari pelayan jauh.

Dokumen tarikan berbahasa Jerman dalam e-mel pancingan data menghalakan mangsa ke fail ZIP berniat jahat yang dihoskan pada tapak web yang dikompromi yang dikawal oleh pelakon. Fail ZIP ini mengandungi penitis ROOTSAW. Selepas pelaksanaan, ROOTSAW menyampaikan dokumen gewang peringkat kedua bertemakan Kesatuan Demokratik Kristian (CDU) dan kemudiannya menggunakan muatan WINELOADER.

WINELOADER, menggunakan pemuatan sisi DLL melalui sqldumper.exe yang sah, mempunyai keupayaan untuk mewujudkan komunikasi dengan pelayan yang dikawal oleh pelaku ancaman, membolehkan pengambilan semula dan pelaksanaan modul tambahan pada hos yang terjejas.

Analisis mendedahkan persamaan antara WINELOADER dan keluarga perisian hasad lain yang dikaitkan dengan APT29, seperti BURNTBATTER, MUSKYBEAT dan BEATDROP, membayangkan pembangun kongsi atau metodologi pembangunan. Tambahan pula, WINELOADER telah dikenal pasti dalam operasi yang menyasarkan entiti diplomatik merentas pelbagai negara, termasuk Republik Czech, Jerman, India, Itali, Latvia dan Peru, pada akhir Januari 2024.

APT29 Mungkin Meluaskan Skopnya untuk Memasukkan Sasaran Baharu

ROOTSAW kekal sebagai komponen kritikal dalam strategi penyusupan awal APT29 yang bertujuan untuk mengumpulkan risikan politik asing. Penggunaan perisian hasad peringkat pertama ini untuk menyasarkan parti politik Jerman menandakan perubahan ketara daripada sasaran diplomatik biasa yang dikaitkan dengan subkelompok APT29 ini. Peralihan ini sudah pasti mencerminkan minat mendalam SVR untuk memperoleh maklumat daripada parti politik dan aspek lain masyarakat sivil yang boleh meningkatkan objektif geopolitik Moscow.

Perkembangan ini bertepatan dengan tindakan undang-undang yang diambil di Jerman, di mana pihak pendakwa telah memfailkan tuduhan pengintipan terhadap seorang pegawai tentera bernama Thomas H. Dia dituduh melakukan aktiviti pengintipan yang didakwa dijalankan bagi pihak perkhidmatan perisikan Rusia yang melibatkan penghantaran maklumat sensitif yang tidak dinyatakan. Thomas H. telah ditahan pada Ogos 2023.