WINELOADER Backdoor

Ang mga pag-atake sa cyber na nagde-deploy sa backdoor ng WINELOADER ay pinaniniwalaang itinayo ng isang grupo ng pag-hack na may kaugnayan sa Foreign Intelligence Service (SVR) ng Russia. Ang grupong ito, na kilala bilang Midnight Blizzard (tinukoy din bilang APT29, BlueBravo, o Cozy Bear), ay nakilala sa kanilang pagkakasangkot sa mga paglabag gaya ng SolarWinds at Microsoft. Dati nang ginamit ang backdoor sa mga pag-atake na nagta-target sa mga diplomatikong entity sa pamamagitan ng mga phishing na pang-akit ng alak.

Natuklasan ng mga mananaliksik ang ebidensya na nagmumungkahi na ginamit ng Midnight Blizzard ang malware na ito para i-target ang mga partidong pampulitika ng Germany noong huling bahagi ng Pebrero 2024, gamit ang mga email na phishing na pinalamutian ng logo ng Christian Democratic Union (CDU). Ito ay minarkahan ang unang pagkakataon kung saan ang APT29 ay naobserbahang partikular na nagta-target sa mga partidong pampulitika, na nagmumungkahi ng potensyal na pagbabago sa kanilang operational focus palayo sa mga tradisyonal na diplomatikong misyon.

Ang WINELOADER Backdoor ay Nakakahawa sa mga Biktima sa pamamagitan ng Multi-stage Attack Chain

Noong Pebrero 2024, isiniwalat ng mga mananaliksik ang pagkakaroon ng WINELOADER bilang bahagi ng isang patuloy na kampanyang cyber espionage na pinaniniwalaang nagsimula noong Hulyo 2023. Na-attribute ang aktibidad na ito sa isang cluster na kilala bilang SPIKEDWINE.

Ang diskarte sa pag-atake ay nagsasangkot ng mga phishing na email na naglalaman ng nilalamang wikang German na idinisenyo upang akitin ang mga tatanggap sa pangako ng isang imbitasyon sa pagtanggap ng hapunan. Ang mga email na ito ay naglalayong linlangin ang mga tatanggap sa pag-click sa isang mapanlinlang na link, na humahantong sa pag-download ng isang rogue HTML Application (HTA) file na pinangalanang ROOTSAW (kilala rin bilang EnvyScout ). Ang ROOTSAW ay nagsisilbing paunang dropper, na nagpapadali sa paghahatid ng WINELOADER mula sa isang malayong server.

Ang dokumentong pang-akit sa wikang Aleman sa loob ng mga email ng phishing ay nagdidirekta sa mga biktima sa isang nakakahamak na ZIP file na naka-host sa isang nakompromisong website na kinokontrol ng mga aktor. Ang ZIP file na ito ay naglalaman ng ROOTSAW dropper. Kapag naisakatuparan, ang ROOTSAW ay naghahatid ng pangalawang yugto ng pang-akit na dokumento na may temang sa paligid ng Christian Democratic Union (CDU) at pagkatapos ay i-deploy ang WINELOADER payload.

Ang WINELOADER, na gumagamit ng DLL side-loading sa pamamagitan ng lehitimong sqldumper.exe, ay nagtataglay ng mga kakayahan upang magtatag ng komunikasyon sa isang server na kinokontrol ng mga aktor ng pagbabanta, na nagbibigay-daan sa pagkuha at pagpapatupad ng mga karagdagang module sa mga nakompromisong host.

Ang pagsusuri ay nagpapakita ng mga pagkakatulad sa pagitan ng WINELOADER at iba pang mga pamilya ng malware na nauugnay sa APT29, gaya ng BURNTBATTER, MUSKYBEAT, at BEATDROP, na nagpapahiwatig ng isang nakabahaging developer o pamamaraan ng pag-develop. Higit pa rito, natukoy ang WINELOADER sa isang operasyon na nagta-target sa mga diplomatikong entity sa iba't ibang bansa, kabilang ang Czech Republic, Germany, India, Italy, Latvia, at Peru, noong huling bahagi ng Enero 2024.

Maaaring Palawakin ng APT29 ang Saklaw Nito Upang Isama ang mga Bagong Target

Ang ROOTSAW ay nananatiling isang kritikal na bahagi sa mga unang diskarte sa paglusot ng APT29 na naglalayong mangalap ng dayuhang political intelligence. Ang paggamit ng malware na ito sa unang yugto upang i-target ang mga partidong pampulitika ng Germany ay nagmamarka ng isang kapansin-pansing pag-alis mula sa mga tipikal na diplomatikong target na nauugnay sa APT29 subcluster na ito. Ang pagbabagong ito ay walang alinlangan na sumasalamin sa matalas na interes ng SVR sa pagkuha ng impormasyon mula sa mga partidong pampulitika at iba pang mga aspeto ng lipunang sibil na maaaring palakasin ang mga geopolitical na layunin ng Moscow.

Ang pag-unlad na ito ay kasabay ng legal na aksyong ginawa sa Germany, kung saan nagsampa ang mga tagausig ng mga kaso ng espionage laban sa isang opisyal ng militar na nagngangalang Thomas H. Siya ay inaakusahan ng mga aktibidad sa espiya na sinasabing isinagawa sa ngalan ng mga serbisyo ng paniktik ng Russia na kinasasangkutan ng pagpapadala ng hindi tinukoy na sensitibong impormasyon. Si Thomas H. ay nahuli noong Agosto 2023.