WINELOADER Backdoor

Domneva se, da je kibernetske napade, ki uporabljajo stranska vrata WINELOADER, pripravila hekerska skupina, povezana z rusko zunanjo obveščevalno službo (SVR). Ta skupina, znana kot Midnight Blizzard (imenovana tudi APT29, BlueBravo ali Cozy Bear), je zaslovela zaradi svoje vpletenosti v vdore, kot sta SolarWinds in Microsoft. Zadnja vrata so bila že uporabljena v napadih na diplomatske subjekte prek vab za lažno predstavljanje degustacije vin.

Raziskovalci so odkrili dokaze, ki kažejo, da je Midnight Blizzard konec februarja 2024 uporabil to zlonamerno programsko opremo za ciljanje na nemške politične stranke, pri čemer je uporabil e-poštna sporočila z lažnim predstavljanjem, okrašena z logotipom Krščansko demokratske unije (CDU). To je prvi primer, ko so opazili, da je APT29 ciljal posebej na politične stranke, kar kaže na morebiten premik njihovega operativnega fokusa stran od tradicionalnih diplomatskih misij.

Backdoor WINELOADER okuži žrtve prek večstopenjske verige napadov

Februarja 2024 so raziskovalci razkrili obstoj WINELOADER-ja kot del tekoče kibernetske vohunske kampanje, ki naj bi se začela julija 2023. Ta dejavnost je bila pripisana skupini, imenovani SPIKEDWINE.

Strategija napada vključuje lažna e-poštna sporočila z vsebino v nemškem jeziku, ki je namenjena privabljanju prejemnikov z obljubo povabila na večerjo. Namen teh e-poštnih sporočil je prejemnike zavesti, da kliknejo zavajajočo povezavo, kar vodi do prenosa lažne datoteke HTML Application (HTA) z imenom ROOTSAW (znane tudi kot EnvyScout ). ROOTSAW služi kot začetni dropper, ki olajša dostavo WINELOADER-ja z oddaljenega strežnika.

Vabljivi dokument v nemškem jeziku v e-poštnih sporočilih z lažnim predstavljanjem usmerja žrtve na zlonamerno datoteko ZIP, ki gostuje na ogroženem spletnem mestu, ki ga nadzorujejo akterji. Ta datoteka ZIP vsebuje kapalko ROOTSAW. Po izvedbi ROOTSAW dostavi drugostopenjski vabljivi dokument, ki se osredotoča na Krščansko demokratsko unijo (CDU), nato pa razporedi tovor WINELOADER.

WINELOADER, ki uporablja stransko nalaganje DLL prek zakonitega sqldumper.exe, ima zmožnosti za vzpostavitev komunikacije s strežnikom, ki ga nadzorujejo akterji groženj, kar omogoča pridobivanje in izvajanje dodatnih modulov na ogroženih gostiteljih.

Analiza razkriva podobnosti med WINELOADER in drugimi družinami zlonamerne programske opreme, povezane z APT29, kot so BURNTBATTER, MUSKYBEAT in BEATDROP, kar namiguje na skupno razvijalsko ali razvojno metodologijo. Poleg tega je bil WINELOADER konec januarja 2024 identificiran v operaciji, usmerjeni proti diplomatskim predstavništvom v različnih državah, vključno s Češko, Nemčijo, Indijo, Italijo, Latvijo in Perujem.

APT29 morda širi svoj obseg, da bi vključil nove tarče

ROOTSAW ostaja kritična komponenta v začetnih strategijah infiltracije APT29, namenjenih zbiranju tujih političnih obveščevalnih podatkov. Uporaba te prve stopnje zlonamerne programske opreme za ciljanje na nemške politične stranke pomeni opazen odmik od tipičnih diplomatskih ciljev, povezanih s to podskupino APT29. Ta premik nedvomno odraža močno zanimanje SVR za pridobivanje informacij od političnih strank in drugih vidikov civilne družbe, ki bi lahko okrepile geopolitične cilje Moskve.

Ta razvoj sovpada s pravnim postopkom v Nemčiji, kjer so tožilci vložili obtožbe zaradi vohunjenja proti vojaškemu častniku po imenu Thomas H. Obtožen je vohunskih dejavnosti, ki naj bi se izvajale v imenu ruskih obveščevalnih služb in vključujejo prenos nedoločenih občutljivih informacij. Thomas H. je bil aretiran avgusta 2023.