Бекдор WINELOADER

Вважається, що кібератаки з використанням бекдора WINELOADER організувала хакерська група, пов’язана зі Службою зовнішньої розвідки (СЗР) Росії. Ця група, відома як Midnight Blizzard (також відома як APT29, BlueBravo або Cozy Bear), здобула сумну популярність завдяки своїй участі в таких зломах, як SolarWinds і Microsoft. Раніше бекдор використовувався для атак на дипломатичні установи за допомогою фішингових приманок для дегустації вина.

Дослідники виявили докази того, що Midnight Blizzard використовувала це зловмисне програмне забезпечення для атаки на німецькі політичні партії наприкінці лютого 2024 року, використовуючи фішингові електронні листи, прикрашені логотипом Християнсько-демократичного союзу (ХДС). Це перший випадок, коли було помічено, що APT29 націлений саме на політичні партії, що свідчить про потенційне зміщення їхнього операційного фокусу від традиційних дипломатичних місій.

Бекдор WINELOADER заражає жертв через багатоетапну ланцюжок атак

У лютому 2024 року дослідники розкрили існування WINELOADER у рамках поточної кампанії кібершпигунства, яка, ймовірно, почалася в липні 2023 року. Цю діяльність приписують кластеру, відомому як SPIKEDWINE.

Стратегія атаки передбачає фішингові електронні листи з німецькомовним вмістом, призначені для заманювання одержувачів обіцянкою запрошення на вечерю. Ці електронні листи мають на меті змусити одержувачів натиснути оманливе посилання, що призведе до завантаження файлу шахрайської програми HTML (HTA) під назвою ROOTSAW (також відомого як EnvyScout ). ROOTSAW служить початковим дроппером, полегшуючи доставку WINELOADER з віддаленого сервера.

Німецькомовний документ-приманка у фішингових електронних листах спрямовує жертв до шкідливого ZIP-файлу, розміщеного на скомпрометованому веб-сайті, контрольованому акторами. Цей ZIP-файл містить програму ROOTSAW. Після виконання ROOTSAW надає документ другого етапу, присвячений Християнсько-демократичному союзу (ХДС), і згодом розгортає корисне навантаження WINELOADER.

WINELOADER, використовуючи стороннє завантаження DLL через законний sqldumper.exe, має можливості для встановлення зв’язку з сервером, контрольованим загрозливими суб’єктами, дозволяючи отримувати та виконувати додаткові модулі на скомпрометованих хостах.

Аналіз виявив схожість між WINELOADER та іншими сімействами шкідливих програм, пов’язаних з APT29, такими як BURNTBATTER, MUSKYBEAT і BEATDROP, що вказує на спільного розробника або методологію розробки. Крім того, WINELOADER було ідентифіковано під час операції, націленої на дипломатичні установи в різних країнах, включаючи Чехію, Німеччину, Індію, Італію, Латвію та Перу, наприкінці січня 2024 року.

APT29 може розширити сферу застосування, щоб включити нові цілі

ROOTSAW залишається критично важливим компонентом початкових стратегій проникнення APT29, спрямованих на збір іноземної політичної розвідки. Використання цього зловмисного програмного забезпечення на першому етапі для націлювання на німецькі політичні партії знаменує помітний відхід від типових дипломатичних цілей, пов’язаних із цим підкластером APT29. Ця зміна, безсумнівно, відображає гостру зацікавленість СВР в отриманні інформації від політичних партій та інших аспектів громадянського суспільства, яка могла б сприяти геополітичним цілям Москви.

Ця подія збігається з судовим позовом, вжитим у Німеччині, де прокуратура висунула звинувачення у шпигунстві проти військового офіцера на ім’я Томас Х. Його звинувачують у шпигунській діяльності, яка ймовірно здійснювалася від імені російських спецслужб, включаючи передачу невизначеної конфіденційної інформації. Томас Х. був затриманий у серпні 2023 року.