WINELOADER Backdoor

Sulmet kibernetike që vendosin derën e pasme WINELOADER besohet se janë krijuar nga një grup hakerash me lidhje me Shërbimin e Inteligjencës së Jashtme të Rusisë (SVR). Ky grup, i njohur si Midnight Blizzard (i referuar edhe si APT29, BlueBravo ose Cozy Bear), fitoi famë për përfshirjen e tyre në shkelje të tilla si SolarWinds dhe Microsoft. Porta e pasme është përdorur më parë në sulmet që synojnë entitetet diplomatike përmes mashtrimeve të phishing-ut për shijimin e verës.

Studiuesit kanë zbuluar prova që sugjerojnë se Midnight Blizzard përdori këtë malware për të synuar partitë politike gjermane në fund të shkurtit 2024, duke përdorur email phishing të stolisur me logon e Unionit Demokristian (CDU). Kjo shënon rastin e parë ku APT29 është vërejtur duke synuar në mënyrë specifike partitë politike, duke sugjeruar një zhvendosje të mundshme në fokusin e tyre operacional larg misioneve tradicionale diplomatike.

WINELOADER Backdoor infekton viktimat nëpërmjet zinxhirit të sulmit me shumë faza

Në shkurt 2024, studiuesit zbuluan ekzistencën e WINELOADER si pjesë e një fushate të vazhdueshme spiunazhi kibernetik që besohet të ketë filluar në korrik 2023. Ky aktivitet i është atribuar një grupi të njohur si SPIKEDWINE.

Strategjia e sulmit përfshin emailet e phishing që përmbajnë përmbajtje në gjuhën gjermane të krijuar për të joshur marrësit me premtimin e një ftese për darkë. Këto emaile synojnë të mashtrojnë marrësit që të klikojnë në një lidhje mashtruese, duke çuar në shkarkimin e një skedari mashtrues të Aplikacionit HTML (HTA) të quajtur ROOTSAW (i njohur gjithashtu si EnvyScout ). ROOTSAW shërben si pika fillestare, duke lehtësuar shpërndarjen e WINELOADER nga një server në distancë.

Dokumenti i joshjes në gjuhën gjermane brenda emaileve të phishing i drejton viktimat në një skedar ZIP keqdashës të vendosur në një faqe interneti të komprometuar të kontrolluar nga aktorët. Ky skedar ZIP përmban pikatoren ROOTSAW. Pas ekzekutimit, ROOTSAW dorëzon një dokument joshjeje të fazës së dytë me temë rreth Unionit Demokristian (CDU) dhe më pas vendos ngarkesën WINELOADER.

WINELOADER, duke shfrytëzuar ngarkimin anësor DLL përmes sqldumper.exe legjitim, zotëron aftësi për të vendosur komunikim me një server të kontrolluar nga aktorët e kërcënimit, duke mundësuar marrjen dhe ekzekutimin e moduleve shtesë në hostet e komprometuar.

Analiza zbulon ngjashmëri midis WINELOADER dhe familjeve të tjera malware të lidhura me APT29, si BURNTBATTER, MUSKYBEAT dhe BEATDROP, duke lënë të kuptohet për një zhvillues ose metodologji të përbashkët zhvillimi. Për më tepër, WINELOADER është identifikuar në një operacion që synon entitete diplomatike në vende të ndryshme, duke përfshirë Republikën Çeke, Gjermaninë, Indinë, Italinë, Letoninë dhe Perunë, në fund të janarit 2024.

APT29 mund të zgjerojë fushën e saj për të përfshirë objektiva të rinj

ROOTSAW mbetet një komponent kritik në strategjitë fillestare të infiltrimit të APT29 që synojnë mbledhjen e inteligjencës politike të huaj. Përdorimi i këtij malware të fazës së parë për të synuar partitë politike gjermane shënon një largim të dukshëm nga objektivat tipikë diplomatikë të lidhur me këtë nëngrup APT29. Ky ndryshim pasqyron padyshim interesin e madh të SVR-së për të marrë informacion nga partitë politike dhe aspekte të tjera të shoqërisë civile që mund të forcojnë objektivat gjeopolitike të Moskës.

Ky zhvillim përkon me veprimet ligjore të ndërmarra në Gjermani, ku prokurorët kanë ngritur akuza për spiunazh kundër një oficeri ushtarak të quajtur Thomas H. Ai akuzohet për aktivitete spiunazhi që dyshohet se janë kryer në emër të shërbimeve të inteligjencës ruse që përfshijnë transmetimin e informacionit delikat të paspecifikuar. Thomas H. u kap në gusht 2023.