WINELOADER Backdoor

WINELOADER బ్యాక్‌డోర్‌ను మోహరించే సైబర్ దాడులు రష్యా యొక్క ఫారిన్ ఇంటెలిజెన్స్ సర్వీస్ (SVR)తో సంబంధాలు కలిగి ఉన్న హ్యాకింగ్ గ్రూప్ ద్వారా ఏర్పాటు చేయబడిందని నమ్ముతారు. మిడ్‌నైట్ బ్లిజార్డ్ (APT29, బ్లూబ్రావో లేదా కోజీ బేర్ అని కూడా పిలుస్తారు) అని పిలువబడే ఈ సమూహం సోలార్‌విండ్స్ మరియు మైక్రోసాఫ్ట్ వంటి ఉల్లంఘనలలో వారి ప్రమేయానికి ప్రసిద్ధి చెందింది. బ్యాక్‌డోర్ గతంలో వైన్-టేస్టింగ్ ఫిషింగ్ ఎరల ద్వారా దౌత్య సంస్థలను లక్ష్యంగా చేసుకుని దాడులలో ఉపయోగించబడింది.

క్రిస్టియన్ డెమోక్రటిక్ యూనియన్ (CDU) లోగోతో అలంకరించబడిన ఫిషింగ్ ఇమెయిల్‌లను ఉపయోగించి, ఫిబ్రవరి 2024 చివరిలో జర్మన్ రాజకీయ పార్టీలను లక్ష్యంగా చేసుకోవడానికి మిడ్‌నైట్ బ్లిజార్డ్ ఈ మాల్వేర్‌ను ఉపయోగించిందని పరిశోధకులు ఆధారాలను కనుగొన్నారు. APT29 ప్రత్యేకంగా రాజకీయ పార్టీలను లక్ష్యంగా చేసుకున్న మొదటి ఉదాహరణగా ఇది గుర్తించబడింది, సాంప్రదాయ దౌత్య కార్యకలాపాలకు దూరంగా వారి కార్యాచరణ దృష్టిలో సంభావ్య మార్పును సూచిస్తుంది.

వైన్‌లోడర్ బ్యాక్‌డోర్ బహుళ-దశల దాడి గొలుసు ద్వారా బాధితులకు సోకుతుంది

ఫిబ్రవరి 2024లో, జూలై 2023లో ప్రారంభమైనట్లు భావిస్తున్న కొనసాగుతున్న సైబర్ గూఢచర్య ప్రచారంలో భాగంగా పరిశోధకులు WINELOADER ఉనికిని వెల్లడించారు.

దాడి వ్యూహంలో డిన్నర్ రిసెప్షన్ ఆహ్వానం యొక్క వాగ్దానంతో స్వీకర్తలను ఆకర్షించడానికి రూపొందించబడిన జర్మన్-భాష కంటెంట్‌ని కలిగి ఉన్న ఫిషింగ్ ఇమెయిల్‌లు ఉంటాయి. ఈ ఇమెయిల్‌లు గ్రహీతలను మోసపూరిత లింక్‌పై క్లిక్ చేయడం ద్వారా మోసగించడం లక్ష్యంగా పెట్టుకున్నాయి, దీని వలన ROOTSAW ( EnvyScout అని కూడా పిలుస్తారు) అనే రోగ్ HTML అప్లికేషన్ (HTA) ఫైల్ డౌన్‌లోడ్ చేయబడుతుంది. ROOTSAW ప్రారంభ డ్రాపర్‌గా పనిచేస్తుంది, రిమోట్ సర్వర్ నుండి WINELOADER డెలివరీని సులభతరం చేస్తుంది.

ఫిషింగ్ ఇమెయిల్‌లలోని జర్మన్-భాషా ఎర పత్రం బాధితులను నటీనటులచే నియంత్రించబడే రాజీపడిన వెబ్‌సైట్‌లో హోస్ట్ చేయబడిన హానికరమైన జిప్ ఫైల్‌కి మళ్లిస్తుంది. ఈ జిప్ ఫైల్ ROOTSAW డ్రాపర్‌ని కలిగి ఉంది. అమలు చేయబడిన తర్వాత, ROOTSAW క్రిస్టియన్ డెమోక్రటిక్ యూనియన్ (CDU) చుట్టూ ఉన్న రెండవ-దశ ఎర పత్రాన్ని అందజేస్తుంది మరియు తదనంతరం WINELOADER పేలోడ్‌ను అమలు చేస్తుంది.

WINELOADER, చట్టబద్ధమైన sqldumper.exe ద్వారా DLL సైడ్-లోడింగ్‌ని ఉపయోగించుకుని, ప్రమాదకర వ్యక్తులచే నియంత్రించబడే సర్వర్‌తో కమ్యూనికేషన్‌ను ఏర్పాటు చేసే సామర్థ్యాలను కలిగి ఉంది, రాజీపడిన హోస్ట్‌లపై అదనపు మాడ్యూళ్లను తిరిగి పొందడం మరియు అమలు చేయడం సాధ్యం చేస్తుంది.

విశ్లేషణ WINELOADER మరియు APT29తో అనుబంధించబడిన BURNTBATTER, MUSKYBEAT మరియు BEATDROP వంటి ఇతర మాల్వేర్ కుటుంబాల మధ్య సారూప్యతలను వెల్లడిస్తుంది, ఇది షేర్డ్ డెవలపర్ లేదా డెవలప్‌మెంట్ మెథడాలజీని సూచిస్తుంది. ఇంకా, జనవరి 2024 చివరిలో చెక్ రిపబ్లిక్, జర్మనీ, ఇండియా, ఇటలీ, లాట్వియా మరియు పెరూతో సహా వివిధ దేశాలలో దౌత్యపరమైన సంస్థలను లక్ష్యంగా చేసుకున్న ఆపరేషన్‌లో WINELOADER గుర్తించబడింది.

APT29 కొత్త లక్ష్యాలను చేర్చడానికి దాని పరిధిని విస్తరించవచ్చు

విదేశీ రాజకీయ గూఢచారాన్ని సేకరించే లక్ష్యంతో APT29 యొక్క ప్రారంభ చొరబాటు వ్యూహాలలో ROOTSAW కీలకమైన భాగం. జర్మన్ రాజకీయ పార్టీలను లక్ష్యంగా చేసుకోవడానికి ఈ మొదటి-దశ మాల్వేర్ యొక్క వినియోగం ఈ APT29 సబ్‌క్లస్టర్‌తో అనుబంధించబడిన సాధారణ దౌత్య లక్ష్యాల నుండి గుర్తించదగిన నిష్క్రమణను సూచిస్తుంది. ఈ మార్పు నిస్సందేహంగా మాస్కో యొక్క భౌగోళిక రాజకీయ లక్ష్యాలను బలపరిచే రాజకీయ పార్టీలు మరియు పౌర సమాజంలోని ఇతర అంశాల నుండి సమాచారాన్ని పొందడంలో SVR యొక్క ఆసక్తిని ప్రతిబింబిస్తుంది.

ఈ పరిణామం జర్మనీలో తీసుకున్న చట్టపరమైన చర్యతో సమానంగా ఉంటుంది, ఇక్కడ ప్రాసిక్యూటర్లు థామస్ హెచ్ అనే సైనిక అధికారిపై గూఢచర్యం ఆరోపణలను దాఖలు చేశారు. అతను పేర్కొనబడని సున్నితమైన సమాచారాన్ని ప్రసారం చేయడంలో రష్యన్ ఇంటెలిజెన్స్ సేవల తరపున నిర్వహించిన గూఢచర్య కార్యకలాపాలకు సంబంధించి ఆరోపణలు ఎదుర్కొంటున్నాడు. థామస్ హెచ్. ఆగస్ట్ 2023లో పట్టుబడ్డాడు.