Tylne drzwi programu WINELOADER

Uważa się, że cyberataki wykorzystujące backdoora WINELOADER zostały zorganizowane przez grupę hakerów powiązaną z rosyjską Służbą Wywiadu Zagranicznego (SVR). Grupa ta, znana jako Midnight Blizzard (nazywana również APT29, BlueBravo lub Cozy Bear), zyskała rozgłos dzięki zaangażowaniu w naruszenia takie jak SolarWinds i Microsoft. Backdoor był już wcześniej wykorzystywany w atakach na placówki dyplomatyczne przy użyciu przynęt phishingowych polegających na degustacji wina.

Badacze odkryli dowody sugerujące, że Midnight Blizzard wykorzystał to szkodliwe oprogramowanie do atakowania niemieckich partii politycznych pod koniec lutego 2024 r., wykorzystując e-maile phishingowe ozdobione logo Unii Chrześcijańsko-Demokratycznej (CDU). Jest to pierwszy przypadek zaobserwowania, że APT29 atakuje konkretnie partie polityczne, co sugeruje potencjalne przesunięcie ich punktu ciężkości operacyjnej z tradycyjnych misji dyplomatycznych.

Backdoor WINELOADER infekuje ofiary poprzez wieloetapowy łańcuch ataków

W lutym 2024 r. badacze ujawnili istnienie programu WINELOADER w ramach trwającej kampanii cyberszpiegowskiej, która prawdopodobnie rozpoczęła się w lipcu 2023 r. Aktywność tę przypisano klastrowi znanemu jako SPIKEDWINE.

Strategia ataku obejmuje wiadomości e-mail phishingowe zawierające treści w języku niemieckim, których celem jest zwabienie odbiorców obietnicą zaproszenia na kolację. Celem tych e-maili jest nakłonienie odbiorców do kliknięcia zwodniczego łącza, co prowadzi do pobrania fałszywego pliku aplikacji HTML (HTA) o nazwie ROOTSAW (znanego również jako EnvyScout ). ROOTSAW służy jako początkowy dropper, ułatwiający dostarczanie WINELOADER ze zdalnego serwera.

Niemieckojęzyczny dokument przynęty zawarty w wiadomościach phishingowych kieruje ofiary do złośliwego pliku ZIP znajdującego się na zainfekowanej stronie internetowej kontrolowanej przez cyberprzestępców. Ten plik ZIP zawiera dropper ROOTSAW. Po wykonaniu ROOTSAW dostarcza drugi etap dokumentu wabiącego tematycznie związanego z Unią Chrześcijańsko-Demokratyczną (CDU), a następnie wdraża ładunek WINELOADER.

WINELOADER, wykorzystujący boczne ładowanie biblioteki DLL poprzez legalny plik sqldumper.exe, posiada możliwości nawiązania komunikacji z serwerem kontrolowanym przez ugrupowania zagrażające, umożliwiając odzyskanie i wykonanie dodatkowych modułów na zaatakowanych hostach.

Analiza ujawnia podobieństwa między WINELOADER i innymi rodzinami złośliwego oprogramowania powiązanymi z APT29, takimi jak BURNTBATTER, MUSKYBEAT i BEATDROP, co wskazuje na wspólnego dewelopera lub metodologię rozwoju. Co więcej, WINELOADER został zidentyfikowany w operacji przeprowadzonej pod koniec stycznia 2024 r. na placówki dyplomatyczne w różnych krajach, w tym w Republice Czeskiej, Niemczech, Indiach, Włoszech, Łotwie i Peru.

APT29 może rozszerzać swój zakres o nowe cele

ROOTSAW pozostaje kluczowym elementem początkowych strategii infiltracji APT29, których celem jest gromadzenie zagranicznego wywiadu politycznego. Wykorzystanie tego szkodliwego oprogramowania pierwszego stopnia do atakowania niemieckich partii politycznych oznacza zauważalne odejście od typowych celów dyplomatycznych związanych z tym podklasterem APT29. Ta zmiana niewątpliwie odzwierciedla duże zainteresowanie SVR pozyskiwaniem informacji od partii politycznych i innych aspektów społeczeństwa obywatelskiego, które mogłyby wzmocnić cele geopolityczne Moskwy.

Wydarzenie to zbiega się z działaniami prawnymi podjętymi w Niemczech, gdzie prokuratorzy postawili zarzuty szpiegostwa oficerowi wojskowemu Thomasowi H. Jest on oskarżony o działalność szpiegowską rzekomo prowadzoną na zlecenie rosyjskich służb wywiadowczych, polegającą na przekazywaniu bliżej nieokreślonych wrażliwych informacji. Thomas H. został zatrzymany w sierpniu 2023 r.