WINELOADER Bakdør

Cyberangrep som distribuerer WINELOADER-bakdøren antas å være satt opp av en hackergruppe med bånd til Russlands utenlandske etterretningstjeneste (SVR). Denne gruppen, kjent som Midnight Blizzard (også referert til som APT29, BlueBravo eller Cozy Bear), ble kjent for sitt engasjement i brudd som SolarWinds og Microsoft. Bakdøren har tidligere blitt brukt i angrep rettet mot diplomatiske enheter gjennom phishing-lokker med vinsmaking.

Forskere har avdekket bevis som tyder på at Midnight Blizzard brukte denne skadevare for å målrette mot tyske politiske partier i slutten av februar 2024, ved å bruke phishing-e-poster utsmykket med logoen til Christian Democratic Union (CDU). Dette markerer det første tilfellet hvor APT29 har blitt observert rettet spesifikt mot politiske partier, noe som antyder et potensielt skifte i deres operasjonelle fokus bort fra tradisjonelle diplomatiske oppdrag.

WINELOADER-bakdøren infiserer ofre via flertrinns angrepskjede

I februar 2024 avslørte forskere eksistensen av WINELOADER som en del av en pågående nettspionasjekampanje som antas å ha startet i juli 2023. Denne aktiviteten har blitt tilskrevet en klynge kjent som SPIKEDWINE.

Angrepsstrategien involverer phishing-e-poster som inneholder tyskspråklig innhold designet for å lokke mottakere med løfte om en middagsinvitasjon. Disse e-postene har som mål å lure mottakere til å klikke på en villedende lenke, noe som fører til nedlasting av en falsk HTML-applikasjonsfil (HTA) kalt ROOTSAW (også kjent som EnvyScout ). ROOTSAW fungerer som en innledende dropper, og letter leveringen av WINELOADER fra en ekstern server.

Det tyskspråklige lokkedokumentet i phishing-e-postene leder ofrene til en ondsinnet ZIP-fil som ligger på et kompromittert nettsted kontrollert av skuespillerne. Denne ZIP-filen inneholder ROOTSAW dropper. Ved henrettelse leverer ROOTSAW et lokkedokument i andre trinn med temaet Christian Democratic Union (CDU) og distribuerer deretter WINELOADER-nyttelasten.

WINELOADER, som bruker DLL-side-innlasting gjennom den legitime sqldumper.exe, har evner til å etablere kommunikasjon med en server kontrollert av trusselaktørene, noe som muliggjør henting og kjøring av tilleggsmoduler på kompromitterte verter.

Analyse avslører likheter mellom WINELOADER og andre skadevarefamilier assosiert med APT29, slik som BURNTBATTER, MUSKYBEAT og BEATDROP, og antyder en delt utvikler- eller utviklingsmetodikk. Videre har WINELOADER blitt identifisert i en operasjon rettet mot diplomatiske enheter på tvers av forskjellige land, inkludert Tsjekkia, Tyskland, India, Italia, Latvia og Peru, i slutten av januar 2024.

APT29 kan utvide omfanget til å inkludere nye mål

ROOTSAW er fortsatt en kritisk komponent i APT29s innledende infiltrasjonsstrategier rettet mot å samle utenlandsk politisk etterretning. Bruken av denne første-trinns skadevare for å målrette mot tyske politiske partier markerer en bemerkelsesverdig avvik fra de typiske diplomatiske målene knyttet til denne APT29-underklyngen. Dette skiftet reflekterer utvilsomt SVRs store interesse for å innhente informasjon fra politiske partier og andre fasetter av sivilsamfunnet som kan styrke Moskvas geopolitiske mål.

Denne utviklingen faller sammen med rettslige skritt tatt i Tyskland, der påtalemyndighetene har reist spionasjeanklager mot en militæroffiser ved navn Thomas H. Han er anklaget for spionasjeaktiviteter som angivelig er utført på vegne av russiske etterretningstjenester, og som involverer overføring av uspesifisert sensitiv informasjon. Thomas H. ble pågrepet i august 2023.