WINELOADER பின்கதவு

WINELOADER பின்கதவை வரிசைப்படுத்தும் சைபர் தாக்குதல்கள் ரஷ்யாவின் வெளிநாட்டு புலனாய்வு சேவையுடன் (SVR) தொடர்பு கொண்ட ஹேக்கிங் குழுவால் அமைக்கப்பட்டதாக நம்பப்படுகிறது. Midnight Blizzard (APT29, BlueBravo அல்லது Cozy Bear என்றும் குறிப்பிடப்படும்) என அழைக்கப்படும் இந்தக் குழுவானது SolarWinds மற்றும் Microsoft போன்ற மீறல்களில் ஈடுபட்டதற்காகப் புகழ் பெற்றது. ஒயின் சுவைக்கும் ஃபிஷிங் கவர்ச்சிகள் மூலம் தூதரக நிறுவனங்களை குறிவைக்கும் தாக்குதல்களில் பின்கதவு முன்பு பயன்படுத்தப்பட்டது.

கிறிஸ்டியன் டெமாக்ரடிக் யூனியனின் (CDU) லோகோவுடன் அலங்கரிக்கப்பட்ட ஃபிஷிங் மின்னஞ்சல்களைப் பயன்படுத்தி, பிப்ரவரி 2024 இன் பிற்பகுதியில் ஜெர்மன் அரசியல் கட்சிகளை குறிவைக்க, Midnight Blizzard இந்த மால்வேரைப் பயன்படுத்தியதற்கான ஆதாரங்களை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். APT29 குறிப்பாக அரசியல் கட்சிகளை குறிவைத்து கவனிக்கப்பட்ட முதல் நிகழ்வாக இது குறிப்பிடுகிறது, இது பாரம்பரிய இராஜதந்திர பணிகளில் இருந்து விலகி அவர்களின் செயல்பாட்டு கவனத்தில் சாத்தியமான மாற்றத்தை பரிந்துரைக்கிறது.

WINELOADER பின்கதவு பல கட்ட தாக்குதல் சங்கிலி மூலம் பாதிக்கப்பட்டவர்களை பாதிக்கிறது

பிப்ரவரி 2024 இல், ஜூலை 2023 இல் தொடங்கியதாக நம்பப்படும் இணைய உளவுப் பிரச்சாரத்தின் ஒரு பகுதியாக WINELOADER இருப்பதை ஆராய்ச்சியாளர்கள் வெளிப்படுத்தினர்.

தாக்குதல் உத்தியானது, இரவு உணவு வரவேற்பு அழைப்பிதழின் வாக்குறுதியுடன் பெறுநர்களைக் கவரும் வகையில் வடிவமைக்கப்பட்ட ஜெர்மன் மொழி உள்ளடக்கம் கொண்ட ஃபிஷிங் மின்னஞ்சல்களை உள்ளடக்கியது. இந்த மின்னஞ்சல்கள் பெறுநர்களை ஏமாற்றும் இணைப்பைக் கிளிக் செய்வதை நோக்கமாகக் கொண்டுள்ளன, இது ROOTSAW ( EnvyScout என்றும் அழைக்கப்படுகிறது) என்ற முரட்டு HTML அப்ளிகேஷன் (HTA) கோப்பைப் பதிவிறக்குவதற்கு வழிவகுக்கிறது. ROOTSAW ஒரு ஆரம்ப துளிசொட்டியாக செயல்படுகிறது, இது தொலை சேவையகத்திலிருந்து WINELOADER ஐ வழங்க உதவுகிறது.

ஃபிஷிங் மின்னஞ்சல்களில் உள்ள ஜெர்மன் மொழி கவர்ச்சி ஆவணம், நடிகர்களால் கட்டுப்படுத்தப்படும் சமரசம் செய்யப்பட்ட இணையதளத்தில் ஹோஸ்ட் செய்யப்பட்ட தீங்கிழைக்கும் ZIP கோப்பிற்கு பாதிக்கப்பட்டவர்களை வழிநடத்துகிறது. இந்த ZIP கோப்பில் ROOTSAW டிராப்பர் உள்ளது. மரணதண்டனை நிறைவேற்றப்பட்டவுடன், ROOTSAW ஆனது கிறிஸ்தவ ஜனநாயக யூனியனை (CDU) கருப்பொருளாகக் கொண்ட இரண்டாம் கட்ட கவர்ச்சி ஆவணத்தை வழங்குகிறது, பின்னர் WINELOADER பேலோடைப் பயன்படுத்துகிறது.

WINELOADER, சட்டபூர்வமான sqldumper.exe மூலம் DLL பக்க ஏற்றுதலைப் பயன்படுத்தி, அச்சுறுத்தல் செயல்பாட்டாளர்களால் கட்டுப்படுத்தப்படும் சேவையகத்துடன் தொடர்பை ஏற்படுத்துவதற்கான திறன்களைக் கொண்டுள்ளது, சமரசம் செய்யப்பட்ட ஹோஸ்ட்களில் கூடுதல் தொகுதிகளை மீட்டெடுக்கவும் செயல்படுத்தவும் உதவுகிறது.

WINELOADER மற்றும் APT29 உடன் தொடர்புடைய பிற மால்வேர் குடும்பங்களான BURNTBATTER, MUSKYBEAT மற்றும் BEATDROP போன்றவற்றுக்கு இடையே உள்ள ஒற்றுமைகளை பகுப்பாய்வு வெளிப்படுத்துகிறது, இது பகிரப்பட்ட டெவலப்பர் அல்லது மேம்பாட்டு முறையைக் குறிக்கிறது. மேலும், ஜனவரி 2024 இன் பிற்பகுதியில் செக் குடியரசு, ஜெர்மனி, இந்தியா, இத்தாலி, லாட்வியா மற்றும் பெரு உட்பட பல்வேறு நாடுகளில் உள்ள தூதரக நிறுவனங்களை குறிவைத்து நடத்தப்பட்ட நடவடிக்கையில் WINELOADER அடையாளம் காணப்பட்டது.

APT29 புதிய இலக்குகளைச் சேர்க்க அதன் நோக்கத்தை விரிவுபடுத்தலாம்

ROOTSAW ஆனது APT29 இன் ஆரம்ப ஊடுருவல் உத்திகளில் வெளிநாட்டு அரசியல் உளவுத்துறையை சேகரிப்பதை நோக்கமாகக் கொண்ட ஒரு முக்கிய அங்கமாக உள்ளது. ஜேர்மன் அரசியல் கட்சிகளை குறிவைக்க இந்த முதல்-நிலை தீம்பொருளின் பயன்பாடு, இந்த APT29 துணைக் கிளஸ்டருடன் தொடர்புடைய வழக்கமான இராஜதந்திர இலக்குகளிலிருந்து குறிப்பிடத்தக்க விலகலைக் குறிக்கிறது. இந்த மாற்றம் சந்தேகத்திற்கு இடமின்றி மாஸ்கோவின் புவிசார் அரசியல் நோக்கங்களை வலுப்படுத்தக்கூடிய அரசியல் கட்சிகள் மற்றும் சிவில் சமூகத்தின் பிற அம்சங்களிலிருந்து தகவல்களைப் பெறுவதில் SVR-ன் தீவிர ஆர்வத்தை பிரதிபலிக்கிறது.

இந்த வளர்ச்சி ஜெர்மனியில் எடுக்கப்பட்ட சட்ட நடவடிக்கையுடன் ஒத்துப்போகிறது, அங்கு வழக்கறிஞர்கள் தாமஸ் எச் என்ற இராணுவ அதிகாரிக்கு எதிராக உளவு குற்றச்சாட்டுகளை பதிவு செய்துள்ளனர். ரஷ்ய உளவுத்துறையின் சார்பாக குறிப்பிடப்படாத முக்கியத் தகவல்களைப் பரப்பியதாகக் கூறப்படும் உளவு நடவடிக்கைகளுக்காக அவர் குற்றம் சாட்டப்பட்டார். தாமஸ் எச். ஆகஸ்ட் 2023 இல் கைது செய்யப்பட்டார்.