WINELOADER Ușă din spate

Se crede că atacurile cibernetice care desfășoară ușa din spate WINELOADER au fost create de un grup de hacking cu legături cu Serviciul de Informații Externe (SVR) al Rusiei. Acest grup, cunoscut sub numele de Midnight Blizzard (numit și APT29, BlueBravo sau Cozy Bear), a câștigat notorietate pentru implicarea în încălcări precum SolarWinds și Microsoft. Ușa din spate a fost folosită anterior în atacuri care vizează entități diplomatice prin momeli de phishing la degustarea de vinuri.

Cercetătorii au descoperit dovezi care sugerează că Midnight Blizzard a folosit acest program malware pentru a viza partidele politice germane la sfârșitul lunii februarie 2024, utilizând e-mailuri de phishing împodobite cu sigla Uniunii Creștin Democrate (CDU). Aceasta marchează prima situație în care APT29 a fost observată care vizează în mod specific partidele politice, sugerând o potențială schimbare a focalizării lor operaționale de la misiunile diplomatice tradiționale.

Ușa din spate WINELOADER infectează victimele printr-un lanț de atac în mai multe etape

În februarie 2024, cercetătorii au dezvăluit existența WINELOADER ca parte a unei campanii de spionaj cibernetic în curs despre care se crede că a început în iulie 2023. Această activitate a fost atribuită unui cluster cunoscut sub numele de SPIKEDWINE.

Strategia de atac implică e-mailuri de tip phishing care conțin conținut în limba germană conceput pentru a atrage destinatarii cu promisiunea unei invitații la recepție la cină. Aceste e-mailuri urmăresc să păcălească destinatarii să facă clic pe un link înșelător, ceea ce duce la descărcarea unui fișier de aplicație HTML (HTA) nepoliticos numit ROOTSAW (cunoscut și ca EnvyScout ). ROOTSAW servește ca un dropper inițial, facilitând livrarea WINELOADER de pe un server la distanță.

Documentul de atracție în limba germană din e-mailurile de phishing direcționează victimele către un fișier ZIP rău intenționat găzduit pe un site web compromis controlat de actori. Acest fișier ZIP conține dropperul ROOTSAW. La execuție, ROOTSAW livrează un document de naluca din a doua etapă tematizat în jurul Uniunii Creștin Democrate (CDU) și, ulterior, implementează încărcătura utilă WINELOADER.

WINELOADER, utilizând încărcarea secundară a DLL prin sqldumper.exe legitim, are capabilități de a stabili comunicarea cu un server controlat de actorii amenințărilor, permițând preluarea și execuția de module suplimentare pe gazde compromise.

Analiza dezvăluie asemănări între WINELOADER și alte familii de malware asociate cu APT29, cum ar fi BURNTBATTER, MUSKYBEAT și BEATDROP, sugerând un dezvoltator comun sau o metodologie de dezvoltare. În plus, WINELOADER a fost identificat într-o operațiune care vizează entități diplomatice din diferite țări, inclusiv Republica Cehă, Germania, India, Italia, Letonia și Peru, la sfârșitul lunii ianuarie 2024.

APT29 își poate extinde domeniul de aplicare pentru a include noi ținte

ROOTSAW rămâne o componentă critică în strategiile inițiale de infiltrare ale APT29 care vizează colectarea informațiilor politice străine. Utilizarea acestui malware de primă etapă pentru a viza partidele politice germane marchează o abatere notabilă de la țintele diplomatice tipice asociate cu acest subcluster APT29. Această schimbare reflectă, fără îndoială, interesul puternic al SVR de a obține informații de la partidele politice și de la alte fațete ale societății civile care ar putea susține obiectivele geopolitice ale Moscovei.

Această evoluție coincide cu acțiunile legale întreprinse în Germania, unde procurorii au depus acuzații de spionaj împotriva unui ofițer militar pe nume Thomas H. El este acuzat de activități de spionaj presupuse desfășurate în numele serviciilor de informații ruse care implică transmiterea de informații sensibile nespecificate. Thomas H. a fost reținut în august 2023.