WINELOADER Arka Kapısı
WINELOADER arka kapısını kullanan siber saldırıların, Rusya Dış İstihbarat Servisi (SVR) ile bağlantısı olan bir bilgisayar korsanlığı grubu tarafından oluşturulduğuna inanılıyor. Midnight Blizzard (APT29, BlueBravo veya Cozy Bear olarak da anılır) olarak bilinen bu grup, SolarWinds ve Microsoft gibi ihlallere karışmasıyla ün kazandı. Arka kapı daha önce şarap tadımı kimlik avı tuzakları yoluyla diplomatik kurumları hedef alan saldırılarda kullanılmıştı.
Araştırmacılar, Midnight Blizzard'ın bu kötü amaçlı yazılımı Şubat 2024'ün sonlarında Alman siyasi partilerini hedef almak için kullandığını ve Hıristiyan Demokrat Birliği (CDU) logosuyla süslenmiş kimlik avı e-postaları kullandığını gösteren kanıtlar ortaya çıkardı. Bu, APT29'un özellikle siyasi partileri hedef aldığının gözlemlendiği ilk örneği işaret ediyor ve operasyonel odaklarının geleneksel diplomatik misyonlardan uzaklaşma potansiyeline işaret ediyor.
WINELOADER Arka Kapısı Çok Aşamalı Saldırı Zinciri Yoluyla Mağdurlara Bulaşıyor
Şubat 2024'te araştırmacılar, Temmuz 2023'te başladığına inanılan devam eden bir siber casusluk kampanyasının parçası olarak WINELOADER'ın varlığını açıkladılar. Bu aktivite, SPIKEDWINE olarak bilinen bir kümeye atfedildi.
Saldırı stratejisi, alıcıları akşam yemeği daveti vaadiyle kandırmak için tasarlanmış, Almanca içerik içeren kimlik avı e-postalarını içeriyor. Bu e-postalar, alıcıları yanıltıcı bir bağlantıya tıklamaları için kandırmayı amaçlayarak ROOTSAW ( EnvyScout olarak da bilinir) adlı hileli bir HTML Uygulaması (HTA) dosyasının indirilmesine yol açar. ROOTSAW, WINELOADER'ın uzak bir sunucudan teslim edilmesini kolaylaştıran bir başlangıç damlası görevi görür.
Kimlik avı e-postalarındaki Almanca yem belgesi, kurbanları, aktörler tarafından kontrol edilen ele geçirilmiş bir web sitesinde barındırılan kötü amaçlı bir ZIP dosyasına yönlendiriyor. Bu ZIP dosyası ROOTSAW damlalığını içerir. Uygulamanın ardından ROOTSAW, Hıristiyan Demokrat Birliği (CDU) temalı ikinci aşama bir yem belgesi sunar ve ardından WINELOADER yükünü konuşlandırır.
Meşru sqldumper.exe aracılığıyla DLL yan yüklemesini kullanan WINELOADER, tehdit aktörleri tarafından kontrol edilen bir sunucuyla iletişim kurma ve güvenliği ihlal edilmiş ana bilgisayarlarda ek modüllerin alınmasına ve çalıştırılmasına olanak tanıyan yeteneklere sahiptir.
Analiz, WINELOADER ile BURNTBATTER, MUSKYBEAT ve BEATDROP gibi APT29 ile ilişkili diğer kötü amaçlı yazılım aileleri arasındaki benzerlikleri ortaya koyuyor ve ortak bir geliştirici veya geliştirme metodolojisine işaret ediyor. Ayrıca WINELOADER'ın, Ocak 2024'ün sonlarında Çek Cumhuriyeti, Almanya, Hindistan, İtalya, Letonya ve Peru dahil olmak üzere çeşitli ülkelerdeki diplomatik kuruluşları hedef alan bir operasyonda tespit edildiği belirlendi.
APT29 Kapsamını Yeni Hedefleri İçerecek Şekilde Genişletiyor Olabilir
ROOTSAW, APT29'un yabancı siyasi istihbarat toplamayı amaçlayan ilk sızma stratejilerinde kritik bir bileşen olmaya devam ediyor. Bu ilk aşama kötü amaçlı yazılımın Alman siyasi partilerini hedef almak için kullanılması, bu APT29 alt kümesiyle ilişkili tipik diplomatik hedeflerden dikkate değer bir ayrılığa işaret ediyor. Bu değişim şüphesiz SVR'nin siyasi partilerden ve sivil toplumun diğer kesimlerinden Moskova'nın jeopolitik hedeflerini destekleyebilecek bilgi edinme konusundaki yoğun ilgisini yansıtıyor.
Bu gelişme, savcıların Thomas H adlı bir subaya karşı casusluk suçlamasında bulunduğu Almanya'da başlatılan yasal işlemle aynı zamana denk geliyor. Söz konusu subay, belirtilmemiş hassas bilgilerin iletilmesini içeren, Rus istihbarat servisleri adına yürütüldüğü iddia edilen casusluk faaliyetleriyle suçlanıyor. Thomas H. Ağustos 2023'te tutuklandı.
