WINELOADER Backdoor

ਵਾਈਨਲੋਡਰ ਬੈਕਡੋਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਵਾਲੇ ਸਾਈਬਰ ਹਮਲਿਆਂ ਨੂੰ ਰੂਸ ਦੀ ਵਿਦੇਸ਼ੀ ਖੁਫੀਆ ਸੇਵਾ (SVR) ਨਾਲ ਸਬੰਧਾਂ ਵਾਲੇ ਹੈਕਿੰਗ ਸਮੂਹ ਦੁਆਰਾ ਸਥਾਪਤ ਕੀਤਾ ਗਿਆ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਸਮੂਹ, ਜਿਸ ਨੂੰ ਮਿਡਨਾਈਟ ਬਲਿਜ਼ਾਰਡ (ਏਪੀਟੀ29, ਬਲੂਬ੍ਰਾਵੋ, ਜਾਂ ਕੋਜ਼ੀ ਬੀਅਰ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਸੋਲਰਵਿੰਡਜ਼ ਅਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਰਗੀਆਂ ਉਲੰਘਣਾਵਾਂ ਵਿੱਚ ਆਪਣੀ ਸ਼ਮੂਲੀਅਤ ਲਈ ਬਦਨਾਮ ਹੋਇਆ। ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੀ ਵਰਤੋਂ ਪਹਿਲਾਂ ਵਾਈਨ-ਚੱਖਣ ਵਾਲੇ ਫਿਸ਼ਿੰਗ ਲਾਲਚਾਂ ਰਾਹੀਂ ਕੂਟਨੀਤਕ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਹਮਲਿਆਂ ਵਿੱਚ ਕੀਤੀ ਜਾਂਦੀ ਰਹੀ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਬੂਤਾਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਮਿਡਨਾਈਟ ਬਲਿਜ਼ਾਰਡ ਨੇ ਫਰਵਰੀ 2024 ਦੇ ਅਖੀਰ ਵਿੱਚ ਜਰਮਨ ਰਾਜਨੀਤਿਕ ਪਾਰਟੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਇਸ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਕ੍ਰਿਸ਼ਚੀਅਨ ਡੈਮੋਕਰੇਟਿਕ ਯੂਨੀਅਨ (CDU) ਦੇ ਲੋਗੋ ਨਾਲ ਸ਼ਿੰਗਾਰੀ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ। ਇਹ ਪਹਿਲੀ ਘਟਨਾ ਹੈ ਜਿੱਥੇ APT29 ਨੂੰ ਖਾਸ ਤੌਰ 'ਤੇ ਸਿਆਸੀ ਪਾਰਟੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਜੋ ਰਵਾਇਤੀ ਕੂਟਨੀਤਕ ਮਿਸ਼ਨਾਂ ਤੋਂ ਦੂਰ ਉਹਨਾਂ ਦੇ ਸੰਚਾਲਨ ਫੋਕਸ ਵਿੱਚ ਸੰਭਾਵੀ ਤਬਦੀਲੀ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ।

WINELOADER Backdoor ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ ਚੇਨ ਦੁਆਰਾ ਪੀੜਤਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਦਾ ਹੈ

ਫਰਵਰੀ 2024 ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਚੱਲ ਰਹੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਦੇ ਹਿੱਸੇ ਵਜੋਂ WINELOADER ਦੀ ਹੋਂਦ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਜੋ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਜੁਲਾਈ 2023 ਵਿੱਚ ਸ਼ੁਰੂ ਹੋਇਆ ਸੀ। ਇਸ ਗਤੀਵਿਧੀ ਦਾ ਕਾਰਨ ਸਪਾਈਕਡਵਾਈਨ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਹੈ।

ਹਮਲੇ ਦੀ ਰਣਨੀਤੀ ਵਿੱਚ ਜਰਮਨ ਭਾਸ਼ਾ ਦੀ ਸਮਗਰੀ ਵਾਲੀ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜਿਸ ਵਿੱਚ ਡਿਨਰ ਰਿਸੈਪਸ਼ਨ ਦੇ ਸੱਦੇ ਦੇ ਵਾਅਦੇ ਨਾਲ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਲੁਭਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹਨਾਂ ਈਮੇਲਾਂ ਦਾ ਉਦੇਸ਼ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਲਈ ਧੋਖਾ ਦੇਣਾ ਹੈ, ਜਿਸ ਨਾਲ ROOTSAW (ਜਿਸ ਨੂੰ EnvyScout ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਨਾਮਕ ਇੱਕ ਠੱਗ HTML ਐਪਲੀਕੇਸ਼ਨ (HTA) ਫਾਈਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ROOTSAW ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਡਰਾਪਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ WINELOADER ਦੀ ਸਪੁਰਦਗੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ।

ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦੇ ਅੰਦਰ ਜਰਮਨ-ਭਾਸ਼ਾ ਦਾ ਲਾਲਚ ਦਸਤਾਵੇਜ਼ ਪੀੜਤਾਂ ਨੂੰ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੀ ਵੈਬਸਾਈਟ 'ਤੇ ਹੋਸਟ ਕੀਤੀ ਇੱਕ ਖਤਰਨਾਕ ZIP ਫਾਈਲ ਵੱਲ ਨਿਰਦੇਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਇਸ ZIP ਫ਼ਾਈਲ ਵਿੱਚ ROOTSAW ਡਰਾਪਰ ਸ਼ਾਮਲ ਹੈ। ਲਾਗੂ ਹੋਣ 'ਤੇ, ROOTSAW ਕ੍ਰਿਸ਼ਚੀਅਨ ਡੈਮੋਕਰੇਟਿਕ ਯੂਨੀਅਨ (CDU) ਦੇ ਦੁਆਲੇ ਥੀਮ ਵਾਲਾ ਇੱਕ ਦੂਜੇ-ਪੜਾਅ ਦੇ ਲਾਲਚ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਅਤੇ ਬਾਅਦ ਵਿੱਚ ਵਾਈਨਲੋਡਰ ਪੇਲੋਡ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ।

WINELOADER, ਜਾਇਜ਼ sqldumper.exe ਦੁਆਰਾ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਮੇਜ਼ਬਾਨਾਂ 'ਤੇ ਵਾਧੂ ਮਾਡਿਊਲਾਂ ਦੀ ਮੁੜ ਪ੍ਰਾਪਤੀ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।

ਵਿਸ਼ਲੇਸ਼ਣ ਵਾਈਨਲੋਡਰ ਅਤੇ APT29 ਨਾਲ ਜੁੜੇ ਹੋਰ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ, ਜਿਵੇਂ ਕਿ BURNTBATTER, MUSKYBEAT, ਅਤੇ BEATDROP ਵਿਚਕਾਰ ਸਮਾਨਤਾਵਾਂ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦਾ ਹੈ, ਇੱਕ ਸਾਂਝੇ ਵਿਕਾਸਕਾਰ ਜਾਂ ਵਿਕਾਸ ਵਿਧੀ ਵੱਲ ਸੰਕੇਤ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਜਨਵਰੀ 2024 ਦੇ ਅਖੀਰ ਵਿੱਚ, ਚੈੱਕ ਗਣਰਾਜ, ਜਰਮਨੀ, ਭਾਰਤ, ਇਟਲੀ, ਲਾਤਵੀਆ ਅਤੇ ਪੇਰੂ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਦੇਸ਼ਾਂ ਵਿੱਚ ਕੂਟਨੀਤਕ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਇੱਕ ਓਪਰੇਸ਼ਨ ਵਿੱਚ ਵਾਈਨਲੋਡਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ।

APT29 ਨਵੇਂ ਟੀਚਿਆਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਆਪਣੇ ਦਾਇਰੇ ਦਾ ਵਿਸਤਾਰ ਕਰ ਸਕਦਾ ਹੈ

ROOTSAW ਵਿਦੇਸ਼ੀ ਰਾਜਨੀਤਿਕ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ APT29 ਦੀਆਂ ਸ਼ੁਰੂਆਤੀ ਘੁਸਪੈਠ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਹਿੱਸਾ ਬਣਿਆ ਹੋਇਆ ਹੈ। ਜਰਮਨ ਰਾਜਨੀਤਿਕ ਪਾਰਟੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਇਸ ਪਹਿਲੇ-ਪੜਾਅ ਦੇ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਇਸ APT29 ਸਬਕਲੱਸਟਰ ਨਾਲ ਜੁੜੇ ਆਮ ਕੂਟਨੀਤਕ ਟੀਚਿਆਂ ਤੋਂ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਦਾਇਗੀ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਇਹ ਤਬਦੀਲੀ ਬਿਨਾਂ ਸ਼ੱਕ ਰਾਜਨੀਤਿਕ ਪਾਰਟੀਆਂ ਅਤੇ ਸਿਵਲ ਸੁਸਾਇਟੀ ਦੇ ਹੋਰ ਪਹਿਲੂਆਂ ਤੋਂ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਵਿੱਚ SVR ਦੀ ਡੂੰਘੀ ਦਿਲਚਸਪੀ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਜੋ ਮਾਸਕੋ ਦੇ ਭੂ-ਰਾਜਨੀਤਿਕ ਉਦੇਸ਼ਾਂ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰ ਸਕਦੇ ਹਨ।

ਇਹ ਵਿਕਾਸ ਜਰਮਨੀ ਵਿੱਚ ਕੀਤੀ ਗਈ ਕਾਨੂੰਨੀ ਕਾਰਵਾਈ ਦੇ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਜਿੱਥੇ ਸਰਕਾਰੀ ਵਕੀਲਾਂ ਨੇ ਥਾਮਸ ਐਚ ਨਾਮ ਦੇ ਇੱਕ ਫੌਜੀ ਅਧਿਕਾਰੀ ਦੇ ਖਿਲਾਫ ਜਾਸੂਸੀ ਦੇ ਦੋਸ਼ ਦਾਇਰ ਕੀਤੇ ਹਨ। ਉਹ ਕਥਿਤ ਤੌਰ 'ਤੇ ਰੂਸੀ ਖੁਫੀਆ ਸੇਵਾਵਾਂ ਦੀ ਤਰਫੋਂ ਕਥਿਤ ਤੌਰ 'ਤੇ ਗੈਰ-ਨਿਰਧਾਰਤ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੇ ਪ੍ਰਸਾਰਣ ਵਿੱਚ ਸ਼ਾਮਲ ਜਾਸੂਸੀ ਗਤੀਵਿਧੀਆਂ ਦਾ ਦੋਸ਼ੀ ਹੈ। ਥਾਮਸ ਐਚ. ਨੂੰ ਅਗਸਤ 2023 ਵਿੱਚ ਫੜਿਆ ਗਿਆ ਸੀ।