WINELOADER Backdoor

Верује се да је сајбер нападе који користе бекдор ВИНЕЛОАДЕР организовала хакерска група повезана са Руском спољном обавештајном службом (СВР). Ова група, позната као Миднигхт Близзард (позната и као АПТ29, БлуеБраво или Цоси Беар), стекла је глас због своје умешаности у кршења као што су СоларВиндс и Мицрософт. Позадинска врата су раније коришћена у нападима усмереним на дипломатске субјекте кроз мамце за фишинг за дегустацију вина.

Истраживачи су открили доказе који сугеришу да је Миднигхт Близзард користио овај злонамерни софтвер за циљање немачких политичких партија крајем фебруара 2024, користећи пхисхинг мејлове украшене логом Хришћанско-демократске уније (ЦДУ). Ово је први случај када је примећено да АПТ29 циља на политичке странке, што указује на потенцијално померање њиховог оперативног фокуса са традиционалних дипломатских мисија.

WINELOADER Backdoor инфицира жртве преко вишестепеног ланца напада

У фебруару 2024. истраживачи су открили постојање ВИНЕЛОАДЕР-а као део текуће кампање сајбер шпијунаже за коју се верује да је почела у јулу 2023. Ова активност је приписана групи познатом као СПИКЕДВИНЕ.

Стратегија напада укључује пхисхинг мејлове који садрже садржај на немачком језику који је осмишљен да намами примаоце обећањем позивнице на вечеру. Ове е-поруке имају за циљ да преваре примаоце да кликну на обмањујућу везу, што доводи до преузимања лажне ХТМЛ апликације (ХТА) датотеке под називом РООТСАВ (познато и као ЕнвиСцоут ). РООТСАВ служи као почетни дроппер, олакшавајући испоруку ВИНЕЛОАДЕР-а са удаљеног сервера.

Документ на немачком језику у оквиру фишинг имејлова упућује жртве на злонамерну ЗИП датотеку која се налази на компромитованој веб локацији коју контролишу актери. Ова ЗИП датотека садржи РООТСАВ дроппер. Након извршења, РООТСАВ испоручује документ друге фазе који се бави мамцем на тему Хришћанско-демократске уније (ЦДУ) и након тога поставља терет ВИНЕЛОАДЕР-а.

ВИНЕЛОАДЕР, који користи ДЛЛ бочно учитавање преко легитимног склдумпер.еке, поседује могућности да успостави комуникацију са сервером који контролишу актери претње, омогућавајући преузимање и извршавање додатних модула на компромитованим хостовима.

Анализа открива сличности између ВИНЕЛОАДЕР-а и других породица малвера повезаних са АПТ29, као што су БУРНТБАТТЕР, МУСКИБЕАТ и БЕАТДРОП, наговештавајући заједничког програмера или развојну методологију. Штавише, ВИНЕЛОАДЕР је идентификован у операцији усмереној на дипломатске субјекте у различитим земљама, укључујући Чешку Републику, Немачку, Индију, Италију, Летонију и Перу, крајем јануара 2024.

АПТ29 можда проширује свој обим како би укључио нове циљеве

РООТСАВ остаје критична компонента у почетним стратегијама инфилтрације АПТ29 са циљем прикупљања страних политичких обавештајних података. Коришћење овог малвера прве фазе за циљање немачких политичких партија означава значајно одступање од типичних дипломатских мета повезаних са овим АПТ29 подкластером. Ова промена несумњиво одражава велики интерес СВР-а за добијање информација од политичких партија и других аспеката цивилног друштва које би могле да ојачају геополитичке циљеве Москве.

Овакав развој догађаја поклапа се са правним мерама предузетим у Немачкој, где су тужиоци поднели оптужбе за шпијунажу против војног официра по имену Томас Х. Он је оптужен за шпијунске активности које су наводно спроведене у име руских обавештајних служби које укључују пренос неодређених осетљивих информација. Томас Х. је ухапшен у августу 2023.