Cửa sau WINELODER

Các cuộc tấn công mạng triển khai cửa sau WINELOADER được cho là do một nhóm hack có quan hệ với Cơ quan Tình báo Nước ngoài (SVR) của Nga thiết lập. Nhóm này, được gọi là Midnight Blizzard (còn được gọi là APT29, BlueBravo hoặc Cosy Bear), đã nổi tiếng vì liên quan đến các vi phạm như SolarWinds và Microsoft. Cửa hậu này trước đây đã được sử dụng trong các cuộc tấn công nhắm vào các tổ chức ngoại giao thông qua mồi nhử lừa đảo nếm thử rượu.

Các nhà nghiên cứu đã phát hiện ra bằng chứng cho thấy Midnight Blizzard đã sử dụng phần mềm độc hại này để nhắm mục tiêu vào các đảng chính trị ở Đức vào cuối tháng 2 năm 2024, sử dụng các email lừa đảo được trang trí bằng biểu tượng của Liên minh Dân chủ Cơ đốc giáo (CDU). Điều này đánh dấu trường hợp đầu tiên người ta quan sát thấy APT29 nhắm mục tiêu cụ thể vào các đảng chính trị, cho thấy sự thay đổi tiềm tàng trong trọng tâm hoạt động của chúng khỏi các cơ quan ngoại giao truyền thống.

Backdoor WINELOADER lây nhiễm cho nạn nhân thông qua chuỗi tấn công nhiều giai đoạn

Vào tháng 2 năm 2024, các nhà nghiên cứu đã tiết lộ sự tồn tại của WINELOADER như một phần của chiến dịch gián điệp mạng đang diễn ra được cho là bắt đầu vào tháng 7 năm 2023. Hoạt động này được cho là do một cụm có tên SPIKEDWINE thực hiện.

Chiến lược tấn công bao gồm các email lừa đảo có chứa nội dung bằng tiếng Đức được thiết kế để thu hút người nhận bằng lời hứa mời ăn tối. Những email này nhằm mục đích lừa người nhận nhấp vào liên kết lừa đảo, dẫn đến việc tải xuống tệp Ứng dụng HTML (HTA) giả mạo có tên ROOTSAW (còn được gọi là EnvyScout ). ROOTSAW đóng vai trò là công cụ nhỏ giọt ban đầu, tạo điều kiện thuận lợi cho việc phân phối WINELOADER từ máy chủ từ xa.

Tài liệu thu hút bằng tiếng Đức trong các email lừa đảo hướng nạn nhân đến một tệp ZIP độc hại được lưu trữ trên một trang web bị xâm nhập do các tác nhân kiểm soát. Tệp ZIP này chứa ROOTSAW dropper. Sau khi thực thi, ROOTSAW cung cấp tài liệu thu hút giai đoạn hai theo chủ đề xoay quanh Liên minh Dân chủ Cơ đốc giáo (CDU) và sau đó triển khai tải trọng WINELOADER.

WINELOADER, sử dụng tính năng tải phụ DLL thông qua sqldumper.exe hợp pháp, có khả năng thiết lập liên lạc với máy chủ do các tác nhân đe dọa kiểm soát, cho phép truy xuất và thực thi các mô-đun bổ sung trên các máy chủ bị xâm nhập.

Phân tích cho thấy những điểm tương đồng giữa WINELOADER và các họ phần mềm độc hại khác có liên quan đến APT29, chẳng hạn như BURNTBATTER, MUSKYBEAT và BEATDROP, gợi ý về một nhà phát triển hoặc phương pháp phát triển chung. Hơn nữa, WINELOADER đã được xác định trong một hoạt động nhắm vào các tổ chức ngoại giao ở nhiều quốc gia khác nhau, bao gồm Cộng hòa Séc, Đức, Ấn Độ, Ý, Latvia và Peru, vào cuối tháng 1 năm 2024.

APT29 có thể mở rộng phạm vi của mình để bao gồm các mục tiêu mới

ROOTSAW vẫn là một thành phần quan trọng trong chiến lược xâm nhập ban đầu của APT29 nhằm thu thập thông tin tình báo chính trị nước ngoài. Việc sử dụng phần mềm độc hại giai đoạn đầu này để nhắm mục tiêu vào các đảng chính trị ở Đức đánh dấu một sự khác biệt đáng chú ý so với các mục tiêu ngoại giao điển hình liên quan đến phân nhóm APT29 này. Sự thay đổi này chắc chắn phản ánh sự quan tâm sâu sắc của SVR trong việc thu thập thông tin từ các đảng phái chính trị và các khía cạnh khác của xã hội dân sự có thể củng cố các mục tiêu địa chính trị của Moscow.

Diễn biến này trùng hợp với hành động pháp lý được thực hiện ở Đức, nơi các công tố viên đã đệ đơn cáo buộc tội gián điệp đối với một sĩ quan quân đội tên là Thomas H. Anh ta bị buộc tội về các hoạt động gián điệp được cho là được tiến hành thay mặt cho các cơ quan tình báo Nga liên quan đến việc truyền tải thông tin nhạy cảm không xác định. Thomas H. bị bắt vào tháng 8 năm 2023.