WINELOADER Backdoor

Er wordt aangenomen dat cyberaanvallen waarbij de WINELOADER-achterdeur wordt ingezet, zijn opgezet door een hackgroep die banden heeft met de Russische Buitenlandse Inlichtingendienst (SVR). Deze groep, bekend als Midnight Blizzard (ook wel APT29, BlueBravo of Cosy Bear genoemd), verwierf bekendheid vanwege hun betrokkenheid bij inbreuken zoals SolarWinds en Microsoft. De achterdeur is eerder gebruikt bij aanvallen op diplomatieke entiteiten via phishing-lokmiddelen met wijnproeverijen.

Onderzoekers hebben bewijs gevonden dat erop wijst dat Midnight Blizzard deze malware eind februari 2024 heeft gebruikt om Duitse politieke partijen aan te vallen, met behulp van phishing-e-mails versierd met het logo van de Christen-Democratische Unie (CDU). Dit markeert het eerste geval waarin APT29 zich specifiek richt op politieke partijen, wat duidt op een mogelijke verschuiving in hun operationele focus, weg van traditionele diplomatieke missies.

De WINELOADER-achterdeur infecteert slachtoffers via een meertrapsaanvalsketen

In februari 2024 maakten onderzoekers het bestaan van WINELOADER bekend als onderdeel van een voortdurende cyberspionagecampagne die vermoedelijk in juli 2023 was begonnen. Deze activiteit wordt toegeschreven aan een cluster dat bekend staat als SPIKEDWINE.

De aanvalsstrategie omvat phishing-e-mails met Duitstalige inhoud, ontworpen om ontvangers te lokken met de belofte van een uitnodiging voor een dinerreceptie. Deze e-mails zijn bedoeld om ontvangers te misleiden om op een misleidende link te klikken, wat leidt tot het downloaden van een frauduleus HTML-toepassingsbestand (HTA) met de naam ROOTSAW (ook bekend als EnvyScout ). ROOTSAW fungeert als een initiële dropper en vergemakkelijkt de levering van WINELOADER vanaf een externe server.

Het Duitstalige lokdocument in de phishing-e-mails verwijst de slachtoffers naar een kwaadaardig ZIP-bestand dat wordt gehost op een gecompromitteerde website die wordt beheerd door de actoren. Dit ZIP-bestand bevat de ROOTSAW-dropper. Na uitvoering levert ROOTSAW een lokdocument voor de tweede fase af met als thema de Christen-Democratische Unie (CDU) en zet vervolgens de WINELOADER-lading in.

WINELOADER, dat gebruik maakt van side-loading van DLL via de legitieme sqldumper.exe, beschikt over mogelijkheden om communicatie tot stand te brengen met een server die wordt beheerd door de bedreigingsactoren, waardoor het ophalen en uitvoeren van extra modules op aangetaste hosts mogelijk wordt.

Analyse onthult overeenkomsten tussen WINELOADER en andere malwarefamilies die verband houden met APT29, zoals BURNTBATTER, MUSKYBEAT en BEATDROP, wat duidt op een gedeelde ontwikkelaar of ontwikkelingsmethodologie. Bovendien is WINELOADER eind januari 2024 geïdentificeerd tijdens een operatie gericht op diplomatieke entiteiten in verschillende landen, waaronder Tsjechië, Duitsland, India, Italië, Letland en Peru.

APT29 breidt mogelijk zijn reikwijdte uit met nieuwe doelstellingen

ROOTSAW blijft een cruciaal onderdeel van de initiële infiltratiestrategieën van APT29, gericht op het verzamelen van buitenlandse politieke inlichtingen. Het gebruik van deze eerste fase-malware om Duitse politieke partijen aan te vallen, markeert een opmerkelijke afwijking van de typische diplomatieke doelen die verband houden met dit APT29-subcluster. Deze verschuiving weerspiegelt ongetwijfeld de grote belangstelling van de SVR voor het verkrijgen van informatie van politieke partijen en andere facetten van het maatschappelijk middenveld die de geopolitieke doelstellingen van Moskou zouden kunnen ondersteunen.

Deze ontwikkeling valt samen met juridische stappen die in Duitsland zijn ondernomen, waar aanklagers spionageaanklachten hebben ingediend tegen een militaire officier genaamd Thomas H. Hij wordt beschuldigd van spionageactiviteiten die naar verluidt zijn uitgevoerd namens de Russische inlichtingendiensten en waarbij sprake is van de overdracht van niet-gespecificeerde gevoelige informatie. Thomas H. werd in augustus 2023 aangehouden.