WINELOADER Backdoor

Предполагается, что кибератаки с использованием бэкдора WINELOADER организованы хакерской группой, связанной со Службой внешней разведки России (СВР). Эта группа, известная как Midnight Blizzard (также известная как APT29, BlueBravo или Cozy Bear), получила известность благодаря своему участию в взломах, таких как SolarWinds и Microsoft. Бэкдор ранее использовался для атак на дипломатические учреждения с использованием фишинговых приманок для дегустации вин.

Исследователи обнаружили доказательства того, что Midnight Blizzard использовала это вредоносное ПО для атак на политические партии Германии в конце февраля 2024 года, используя фишинговые электронные письма, украшенные логотипом Христианско-демократического союза (ХДС). Это первый случай, когда APT29 нацелен конкретно на политические партии, что позволяет предположить потенциальное смещение их оперативной направленности от традиционных дипломатических миссий.

Бэкдор WINELOADER заражает жертв посредством многоэтапной цепочки атак

В феврале 2024 года исследователи раскрыли существование WINELOADER в рамках продолжающейся кампании кибершпионажа, предположительно начавшейся в июле 2023 года. Эту деятельность приписывают кластеру, известному как SPIKEDWINE.

Стратегия атаки включает в себя фишинговые электронные письма, содержащие контент на немецком языке, призванные заманить получателей обещанием приглашения на ужин. Эти электронные письма направлены на то, чтобы заставить получателей нажать на обманную ссылку, что приведет к загрузке мошеннического файла HTML-приложения (HTA) с именем ROOTSAW (также известного как EnvyScout ). ROOTSAW служит первоначальным дроппером, облегчающим доставку WINELOADER с удаленного сервера.

Документ-приманка на немецком языке в фишинговых письмах направляет жертв на вредоносный ZIP-файл, размещенный на взломанном веб-сайте, контролируемом злоумышленниками. Этот ZIP-файл содержит дроппер ROOTSAW. После выполнения ROOTSAW предоставляет документ-приманку второго этапа, посвященный Христианско-демократическому союзу (ХДС), а затем развертывает полезную нагрузку WINELOADER.

WINELOADER, использующий неопубликованную загрузку DLL через законный файл sqldumper.exe, обладает возможностями устанавливать связь с сервером, контролируемым злоумышленниками, что позволяет извлекать и выполнять дополнительные модули на скомпрометированных хостах.

Анализ показывает сходство между WINELOADER и другими семействами вредоносных программ, связанных с APT29, такими как BURNTBATTER, MUSKYBEAT и BEATDROP, что намекает на общего разработчика или методологию разработки. Кроме того, WINELOADER был выявлен в ходе операции, направленной против дипломатических учреждений в различных странах, включая Чехию, Германию, Индию, Италию, Латвию и Перу, в конце января 2024 года.

APT29 может расширить сферу своей деятельности, включив в нее новые цели

ROOTSAW остается важнейшим компонентом первоначальных стратегий проникновения APT29, направленных на сбор внешней политической разведки. Использование этого вредоносного ПО первой стадии для атак на политические партии Германии знаменует собой заметный отход от типичных дипломатических целей, связанных с этим подкластером APT29. Этот сдвиг, несомненно, отражает острый интерес СВР к получению информации от политических партий и других представителей гражданского общества, которая могла бы способствовать достижению геополитических целей Москвы.

Это событие совпадает с судебным иском, предпринятым в Германии, где прокуратура выдвинула обвинения в шпионаже против военного офицера по имени Томас Х. Его обвиняют в шпионской деятельности, предположительно осуществляемой от имени российских спецслужб и связанной с передачей неуказанной конфиденциальной информации. Томас Х. был задержан в августе 2023 года.