WINELOADER Bakdörr

Cyberattacker som använder WINELOADER-bakdörren tros ha upprättats av en hackergrupp med anknytning till Rysslands utrikesunderrättelsetjänst (SVR). Denna grupp, känd som Midnight Blizzard (även kallad APT29, BlueBravo eller Cozy Bear), blev känd för sin inblandning i intrång som SolarWinds och Microsoft. Bakdörren har tidigare använts i attacker mot diplomatiska enheter genom vinprovande nätfiske.

Forskare har avslöjat bevis som tyder på att Midnight Blizzard använde denna skadliga programvara för att rikta in sig på tyska politiska partier i slutet av februari 2024, och använde nätfiske-e-postmeddelanden prydda med logotypen för Christian Democratic Union (CDU). Detta markerar det första fallet där APT29 har observerats riktar sig specifikt mot politiska partier, vilket tyder på en potentiell förändring av deras operativa fokus bort från traditionella diplomatiska uppdrag.

WINELOADER-bakdörren infekterar offer via attackkedja i flera steg

I februari 2024 avslöjade forskare förekomsten av WINELOADER som en del av en pågående cyberspionagekampanj som tros ha börjat i juli 2023. Denna aktivitet har tillskrivits ett kluster som kallas SPIKEDWINE.

Attackstrategin involverar nätfiske-e-postmeddelanden som innehåller tyskspråkigt innehåll utformat för att locka mottagare med löftet om en inbjudan till middagsmottagning. Dessa e-postmeddelanden syftar till att lura mottagarna att klicka på en vilseledande länk, vilket leder till nedladdningen av en falsk HTML Application (HTA)-fil som heter ROOTSAW (även känd som EnvyScout ). ROOTSAW fungerar som en initial dropper, vilket underlättar leveransen av WINELOADER från en fjärrserver.

Det tyskspråkiga lockbetsdokumentet i nätfiske-e-postmeddelandena leder offren till en skadlig ZIP-fil som finns på en komprometterad webbplats som kontrolleras av skådespelarna. Denna ZIP-fil innehåller ROOTSAW dropper. Efter avrättningen levererar ROOTSAW ett lockdokument i andra steget med temat Christian Democratic Union (CDU) och distribuerar sedan WINELOADER-nyttolasten.

WINELOADER, som använder DLL-sidoladdning genom den legitima sqldumper.exe, har kapacitet att upprätta kommunikation med en server som kontrolleras av hotaktörerna, vilket möjliggör hämtning och exekvering av ytterligare moduler på komprometterade värdar.

Analys avslöjar likheter mellan WINELOADER och andra skadliga programfamiljer associerade med APT29, såsom BURNTBATTER, MUSKYBEAT och BEATDROP, vilket antyder en delad utvecklare eller utvecklingsmetodik. Dessutom har WINELOADER identifierats i en operation riktad mot diplomatiska enheter i olika länder, inklusive Tjeckien, Tyskland, Indien, Italien, Lettland och Peru, i slutet av januari 2024.

APT29 kan utöka sin omfattning till att inkludera nya mål

ROOTSAW förblir en kritisk komponent i APT29:s initiala infiltrationsstrategier som syftar till att samla in utländsk politisk intelligens. Användningen av denna första etapp skadlig programvara för att rikta in sig på tyska politiska partier markerar en anmärkningsvärd avvikelse från de typiska diplomatiska målen som är förknippade med detta APT29-subkluster. Denna förändring speglar utan tvekan SVR:s stora intresse av att skaffa information från politiska partier och andra aspekter av det civila samhället som skulle kunna stärka Moskvas geopolitiska mål.

Denna utveckling sammanfaller med rättsliga åtgärder som vidtagits i Tyskland, där åklagare har väckt åtal mot en militärofficer vid namn Thomas H. Han står anklagad för spionageverksamhet som påstås ha utförts på uppdrag av ryska underrättelsetjänster som involverar överföring av ospecificerad känslig information. Thomas H. greps i augusti 2023.