WINELOADER ประตูหลัง

การโจมตีทางไซเบอร์ที่ใช้ประตูหลัง WINELOADER เชื่อว่าถูกจัดตั้งขึ้นโดยกลุ่มแฮ็กที่มีความเกี่ยวข้องกับหน่วยข่าวกรองต่างประเทศ (SVR) ของรัสเซีย กลุ่มนี้เรียกว่า Midnight Blizzard (หรือเรียกอีกอย่างว่า APT29, BlueBravo หรือ Cozy Bear) ได้รับชื่อเสียงในทางลบจากการมีส่วนร่วมในการละเมิดเช่น SolarWinds และ Microsoft ก่อนหน้านี้มีการใช้แบ็คดอร์ในการโจมตีโดยมุ่งเป้าไปที่หน่วยงานทางการทูตผ่านเหยื่อฟิชชิ่งชิมไวน์

นักวิจัยได้ค้นพบหลักฐานที่บ่งชี้ว่า Midnight Blizzard ใช้มัลแวร์นี้เพื่อกำหนดเป้าหมายพรรคการเมืองเยอรมันในช่วงปลายเดือนกุมภาพันธ์ 2024 โดยใช้อีเมลฟิชชิ่งที่ประดับด้วยโลโก้ของ Christian Democratic Union (CDU) นี่เป็นกรณีแรกที่พบว่า APT29 มุ่งเป้าไปที่พรรคการเมืองโดยเฉพาะ ซึ่งชี้ให้เห็นถึงการเปลี่ยนแปลงที่อาจเกิดขึ้นในการมุ่งเน้นการปฏิบัติงานของพวกเขาให้ห่างจากภารกิจทางการทูตแบบเดิมๆ

ประตูหลัง WINELOADER แพร่เชื้อไปยังเหยื่อผ่านการโจมตีแบบหลายขั้นตอน

ในเดือนกุมภาพันธ์ พ.ศ. 2567 นักวิจัยได้เปิดเผยการมีอยู่ของ WINELOADER ซึ่งเป็นส่วนหนึ่งของแคมเปญจารกรรมทางไซเบอร์ที่กำลังดำเนินอยู่ ซึ่งเชื่อว่าจะเริ่มในเดือนกรกฎาคม พ.ศ. 2566 กิจกรรมนี้เกิดจากคลัสเตอร์ที่เรียกว่า SPIKEDWINE

กลยุทธ์การโจมตีเกี่ยวข้องกับอีเมลฟิชชิ่งที่มีเนื้อหาภาษาเยอรมันที่ออกแบบมาเพื่อล่อลวงผู้รับด้วยคำสัญญาว่าจะเชิญงานเลี้ยงอาหารค่ำ อีเมลเหล่านี้มีจุดมุ่งหมายเพื่อหลอกให้ผู้รับคลิกลิงก์หลอกลวง ซึ่งนำไปสู่การดาวน์โหลดไฟล์ HTML Application (HTA) อันธพาลชื่อ ROOTSAW (หรือที่เรียกว่า EnvyScout ) ROOTSAW ทำหน้าที่เป็นหยดเริ่มต้น ซึ่งอำนวยความสะดวกในการจัดส่ง WINELOADER จากเซิร์ฟเวอร์ระยะไกล

เอกสารล่อลวงภาษาเยอรมันในอีเมลฟิชชิ่งนำเหยื่อไปยังไฟล์ ZIP ที่เป็นอันตรายซึ่งโฮสต์บนเว็บไซต์ที่ถูกบุกรุกซึ่งควบคุมโดยนักแสดง ไฟล์ ZIP นี้มีหยด ROOTSAW เมื่อมีการดำเนินการ ROOTSAW จะส่งเอกสารล่อลวงระยะที่สองซึ่งมีธีมเกี่ยวกับ Christian Democratic Union (CDU) และต่อมาจึงปรับใช้เพย์โหลด WINELOADER

WINELOADER ใช้การโหลด DLL ฝั่งผ่าน sqldumper.exe ที่ถูกต้องตามกฎหมาย มีความสามารถในการสร้างการสื่อสารกับเซิร์ฟเวอร์ที่ควบคุมโดยผู้แสดงภัยคุกคาม ทำให้สามารถเรียกค้นและดำเนินการโมดูลเพิ่มเติมบนโฮสต์ที่ถูกบุกรุกได้

การวิเคราะห์เผยให้เห็นความคล้ายคลึงกันระหว่าง WINELOADER และกลุ่มมัลแวร์อื่นๆ ที่เกี่ยวข้องกับ APT29 เช่น BURNTBATTER, MUSKYBEAT และ BEATDROP ซึ่งบ่งบอกถึงนักพัฒนาที่ใช้ร่วมกันหรือวิธีการพัฒนา นอกจากนี้ WINELOADER ยังถูกระบุในปฏิบัติการที่มีเป้าหมายเป็นหน่วยงานทางการทูตในประเทศต่างๆ รวมถึงสาธารณรัฐเช็ก เยอรมนี อินเดีย อิตาลี ลัตเวีย และเปรู ในช่วงปลายเดือนมกราคม 2024

APT29 อาจขยายขอบเขตเพื่อรวมเป้าหมายใหม่

ROOTSAW ยังคงเป็นองค์ประกอบสำคัญในกลยุทธ์การแทรกซึมเบื้องต้นของ APT29 ซึ่งมีเป้าหมายเพื่อรวบรวมข้อมูลทางการเมืองจากต่างประเทศ การใช้มัลแวร์ระยะแรกนี้เพื่อกำหนดเป้าหมายพรรคการเมืองเยอรมัน ถือเป็นการเบี่ยงเบนไปจากเป้าหมายทางการทูตทั่วไปที่เกี่ยวข้องกับคลัสเตอร์ย่อย APT29 นี้ การเปลี่ยนแปลงนี้สะท้อนให้เห็นถึงความสนใจอย่างแรงกล้าของ SVR ในการได้รับข้อมูลจากพรรคการเมืองและแง่มุมอื่น ๆ ของภาคประชาสังคมที่อาจสนับสนุนวัตถุประสงค์ทางภูมิศาสตร์การเมืองของมอสโกอย่างไม่ต้องสงสัย

การพัฒนานี้เกิดขึ้นพร้อมกับการดำเนินการทางกฎหมายในเยอรมนี ซึ่งอัยการได้ยื่นฟ้องในข้อหาจารกรรมต่อนายทหารชื่อโธมัส เอช. เขาถูกกล่าวหาว่าทำกิจกรรมจารกรรมที่ถูกกล่าวหาว่าดำเนินการในนามของหน่วยข่าวกรองรัสเซียที่เกี่ยวข้องกับการส่งข้อมูลละเอียดอ่อนที่ไม่ได้ระบุรายละเอียด Thomas H. ถูกจับกุมในเดือนสิงหาคม 2023