WINELOADER Backdoor

WINELOADER ब्याकडोरमा तैनाथ गर्ने साइबर आक्रमणहरू रूसको विदेशी खुफिया सेवा (SVR) सँग सम्बन्धित ह्याकिङ समूहद्वारा स्थापित भएको मानिन्छ। यो समूह, मिडनाइट ब्लिजार्ड (APT29, BlueBravo, वा Cozy Bear को रूपमा पनि चिनिन्छ), SolarWinds र Microsoft जस्ता उल्लङ्घनहरूमा उनीहरूको संलग्नताको लागि कुख्यात भयो। ब्याकडोर पहिले वाइन-स्वाद फिसिङ लुर्स मार्फत कूटनीतिक संस्थाहरूलाई लक्षित गर्ने आक्रमणहरूमा प्रयोग गरिएको थियो।

मिडनाइट ब्लिजार्डले क्रिस्चियन डेमोक्रेटिक युनियन (CDU) को लोगोले सजिएको फिसिङ इमेलहरू प्रयोग गर्दै, फेब्रुअरी २०२४ को अन्ततिर जर्मन राजनीतिक दलहरूलाई लक्षित गर्न यो मालवेयर प्रयोग गरेको सुझाव दिने प्रमाणहरू पत्ता लगाएका छन्। यो पहिलो उदाहरण हो जहाँ APT29 लाई विशेष गरी राजनीतिक दलहरूलाई लक्षित गरी अवलोकन गरिएको छ, जसले परम्परागत कूटनीतिक नियोगहरूबाट टाढा उनीहरूको परिचालन केन्द्रित सम्भावित परिवर्तनको सुझाव दिन्छ।

WINELOADER Backdoor बहु-चरण आक्रमण श्रृंखला मार्फत पीडितहरूलाई संक्रमित गर्दछ

फेब्रुअरी 2024 मा, अन्वेषकहरूले जुलाई 2023 मा सुरु भएको मानिने चलिरहेको साइबर जासूसी अभियानको भागको रूपमा WINELOADER को अस्तित्व खुलासा गरे। यो गतिविधिलाई SPIKEDWINE भनिने क्लस्टरलाई श्रेय दिइएको छ।

आक्रमणको रणनीतिमा जर्मन-भाषा सामग्री भएको फिसिङ इमेलहरू समावेश छन् जसमा प्राप्तकर्ताहरूलाई डिनर रिसेप्शन निमन्त्रणाको वाचाको साथ लुकाउन डिजाइन गरिएको हो। यी इमेलहरूले ROOTSAW ( EnvyScout को रूपमा पनि चिनिन्छ) नामक ठगी HTML एप्लिकेसन (HTA) फाइल डाउनलोड गर्नका लागि प्राप्तकर्ताहरूलाई भ्रामक लिङ्कमा क्लिक गर्न छल गर्ने लक्ष्य राख्छन्। ROOTSAW ले प्रारम्भिक ड्रपरको रूपमा कार्य गर्दछ, रिमोट सर्भरबाट WINELOADER को डेलिभरीलाई सहज बनाउँदै।

फिसिङ इमेलहरू भित्र रहेको जर्मन भाषाको लालच कागजातले पीडितहरूलाई अभिनेताहरूद्वारा नियन्त्रित सम्झौता गरिएको वेबसाइटमा होस्ट गरिएको खराब ZIP फाइलमा निर्देशित गर्छ। यो ZIP फाइलमा ROOTSAW ड्रपर समावेश छ। कार्यान्वयनमा, ROOTSAW ले क्रिस्चियन डेमोक्र्याटिक युनियन (CDU) वरिपरि थीम गरिएको दोस्रो-चरण ल्युर कागजात प्रदान गर्दछ र पछि WINELOADER पेलोड तैनात गर्दछ।

WINELOADER, वैध sqldumper.exe मार्फत DLL साइड-लोडिङ प्रयोग गर्दै, खतरा अभिनेताहरूद्वारा नियन्त्रित सर्भरसँग सञ्चार स्थापना गर्न क्षमताहरू छन्, जसले सम्झौता गरिएका होस्टहरूमा थप मोड्युलहरूको पुन: प्राप्ति र कार्यान्वयनलाई सक्षम पार्छ।

विश्लेषणले WINELOADER र APT29 सँग सम्बन्धित अन्य मालवेयर परिवारहरू बीच समानताहरू प्रकट गर्दछ, जस्तै BURNTBATTER, MUSKYBEAT, र BEATDROP, साझा विकासकर्ता वा विकास पद्धतिमा संकेत गर्दै। यसबाहेक, WINELOADER जनवरी 2024 को अन्तमा चेक गणतन्त्र, जर्मनी, भारत, इटाली, लाटभिया र पेरु लगायत विभिन्न देशहरूमा कूटनीतिक संस्थाहरूलाई लक्षित गर्ने अभियानमा पहिचान गरिएको छ।

APT29 ले नयाँ लक्ष्यहरू समावेश गर्न यसको दायरा विस्तार गर्न सक्छ

ROOTSAW APT29 को प्रारम्भिक घुसपैठ रणनीतिहरूमा विदेशी राजनैतिक खुफिया जानकारी जम्मा गर्ने उद्देश्यले महत्त्वपूर्ण घटक बनेको छ। जर्मन राजनीतिक दलहरूलाई लक्षित गर्नको लागि यो पहिलो चरणको मालवेयरको उपयोगले यस APT29 सबक्लस्टरसँग सम्बन्धित विशिष्ट कूटनीतिक लक्ष्यहरूबाट उल्लेखनीय प्रस्थान चिन्ह लगाउँछ। यो परिवर्तनले निस्सन्देह मस्कोको भूराजनीतिक उद्देश्यहरूलाई बलियो बनाउन सक्ने राजनीतिक दलहरू र नागरिक समाजका अन्य पक्षहरूबाट जानकारी प्राप्त गर्न SVR को गहिरो चासो झल्काउँछ।

यो विकास जर्मनीमा लिइएको कानुनी कारबाहीसँग मेल खान्छ, जहाँ अभियोजकहरूले थॉमस एच नामको सैन्य अधिकारी विरुद्ध जासुसी आरोप दायर गरेका छन्। उनीमाथि रूसी गुप्तचर सेवाहरूको तर्फबाट अनिर्दिष्ट संवेदनशील जानकारीको प्रसारणमा संलग्न रहेको कथित रूपमा सञ्चालन गरिएको जासुसी गतिविधिहरूको आरोप लगाइएको छ। थोमस एच अगस्ट २०२३ मा पक्राउ परेका थिए।