WINELOADER Backdoor

Predpokladá sa, že kybernetické útoky využívajúce zadné vrátka WINELOADER vytvorila hackerská skupina s väzbami na ruskú zahraničnú spravodajskú službu (SVR). Táto skupina, známa ako Midnight Blizzard (tiež označovaná ako APT29, BlueBravo alebo Cozy Bear), sa preslávila svojou účasťou na porušení, ako sú SolarWinds a Microsoft. Zadné vrátka sa v minulosti používali pri útokoch zameraných na diplomatické subjekty prostredníctvom phishingových návnad na ochutnávku vína.

Výskumníci odhalili dôkazy naznačujúce, že Midnight Blizzard použil tento malvér na zacielenie na nemecké politické strany koncom februára 2024, pričom použil phishingové e-maily zdobené logom Kresťanskodemokratickej únie (CDU). Ide o prvý prípad, kedy bol APT29 pozorovaný špecificky zameraný na politické strany, čo naznačuje potenciálny posun v ich operačnom zameraní od tradičných diplomatických misií.

WINELOADER Backdoor infikuje obete prostredníctvom viacstupňového reťazca útoku

Vo februári 2024 výskumníci odhalili existenciu WINELOADER ako súčasť prebiehajúcej kybernetickej špionážnej kampane, o ktorej sa predpokladá, že sa začala v júli 2023. Táto aktivita bola pripísaná klastra známemu ako SPIKEDWINE.

Stratégia útoku zahŕňa phishingové e-maily s obsahom v nemeckom jazyku, ktorých cieľom je prilákať príjemcov prísľubom pozvania na večeru. Cieľom týchto e-mailov je oklamať príjemcov, aby klikli na klamlivý odkaz, čo vedie k stiahnutiu súboru nečestnej aplikácie HTML (HTA) s názvom ROOTSAW (známy aj ako EnvyScout ). ROOTSAW slúži ako počiatočný dropper, ktorý uľahčuje doručovanie WINELOADER zo vzdialeného servera.

Dokument s návnadou v nemeckom jazyku v rámci phishingových e-mailov nasmeruje obete na škodlivý súbor ZIP hostený na napadnutej webovej stránke kontrolovanej aktérmi. Tento súbor ZIP obsahuje kvapkadlo ROOTSAW. Po vykonaní ROOTSAW doručí dokument s návnadou druhej fázy s témou Kresťanskodemokratickej únie (CDU) a následne nasadí užitočné zaťaženie WINELOADER.

WINELOADER, využívajúci bočné načítanie DLL prostredníctvom legitímneho sqldumper.exe, má schopnosti nadviazať komunikáciu so serverom kontrolovaným aktérmi hrozby, čo umožňuje získavanie a spúšťanie ďalších modulov na napadnutých hostiteľoch.

Analýza odhaľuje podobnosti medzi WINELOADER a inými rodinami malvéru spojených s APT29, ako sú BURNTBATTER, MUSKYBEAT a BEATDROP, čo naznačuje zdieľanú vývojársku alebo vývojovú metodiku. Okrem toho bol WINELOADER identifikovaný koncom januára 2024 v operácii zameranej na diplomatické subjekty v rôznych krajinách vrátane Českej republiky, Nemecka, Indie, Talianska, Lotyšska a Peru.

APT29 môže rozširovať svoj rozsah, aby zahŕňal nové ciele

ROOTSAW zostáva kritickou súčasťou počiatočných stratégií infiltrácie APT29 zameraných na zhromažďovanie zahraničných politických spravodajských informácií. Využitie tohto prvotného škodlivého softvéru na zacielenie na nemecké politické strany predstavuje výrazný odklon od typických diplomatických cieľov spojených s týmto subklastrom APT29. Tento posun nepochybne odráža veľký záujem SVR o získavanie informácií od politických strán a iných aspektov občianskej spoločnosti, ktoré by mohli podporiť geopolitické ciele Moskvy.

Tento vývoj sa zhoduje s právnymi krokmi podniknutými v Nemecku, kde prokurátori vzniesli obvinenie zo špionáže proti vojenskému dôstojníkovi menom Thomas H. Je obvinený zo špionážnych aktivít údajne vykonávaných v mene ruských spravodajských služieb zahŕňajúcich prenos bližšie nešpecifikovaných citlivých informácií. Thomas H. bol zadržaný v auguste 2023.