WINELOADER后门

据信，部署 WINELOADER 后门的网络攻击是由与俄罗斯对外情报局 (SVR) 有联系的黑客组织发起的。该组织被称为Midnight Blizzard （也称为 APT29、BlueBravo 或 Cozy Bear），因参与 SolarWinds 和 Microsoft 等违规行为而臭名昭著。该后门此前曾被用于通过品酒钓鱼诱饵来针对外交实体的攻击。

研究人员发现的证据表明，Midnight Blizzard 在 2024 年 2 月下旬利用该恶意软件针对德国政党，使用带有基督教民主联盟 (CDU) 徽标的网络钓鱼电子邮件。这标志着首次观察到APT29专门针对政党，表明其行动重点可能从传统外交使命转移。

WINELOADER 后门通过多阶段攻击链感染受害者

2024 年 2 月，研究人员披露了 WINELOADER 的存在，这是据信于 2023 年 7 月开始的持续网络间谍活动的一部分。该活动归因于一个名为 SPIKEDWINE 的集群。

攻击策略涉及包含德语内容的网络钓鱼电子邮件，旨在以晚宴邀请的承诺来引诱收件人。这些电子邮件旨在诱骗收件人点击欺骗性链接，从而导致下载名为 ROOTSAW（也称为EnvyScout ）的恶意 HTML 应用程序 (HTA) 文件。 ROOTSAW 充当初始释放器，促进从远程服务器传送 WINELOADER。

网络钓鱼电子邮件中的德语诱饵文档将受害者引导至由攻击者控制的受感染网站上托管的恶意 ZIP 文件。此 ZIP 文件包含 ROOTSAW 滴管。执行后，ROOTSAW 会交付一份以基督教民主联盟 (CDU) 为主题的第二阶段诱饵文件，并随后部署 WINELOADER 有效负载。

WINELOADER 通过合法的 sqldumper.exe 利用 DLL 侧面加载，具有与威胁参与者控制的服务器建立通信的能力，从而能够在受感染的主机上检索和执行其他模块。

分析揭示了 WINELOADER 和与 APT29 相关的其他恶意软件家族（例如 BURNTBATTER、MUSKYBEAT 和 BEATDROP）之间的相似之处，暗示了共同的开发人员或开发方法。此外，2024 年 1 月下旬，在针对捷克共和国、德国、印度、意大利、拉脱维亚和秘鲁等多个国家的外交实体的一次行动中，发现了 WINELOADER。

APT29 可能正在扩大其范围，将新目标纳入其中

ROOTSAW 仍然是 APT29 旨在收集外国政治情报的初始渗透策略的重要组成部分。利用这种第一阶段恶意软件攻击德国政党，标志着与 APT29 子集群相关的典型外交目标明显不同。这一转变无疑反映了 SVR 对从政党和其他民间社会获取信息的强烈兴趣，这些信息可能会支持莫斯科的地缘政治目标。

这一发展与德国采取的法律行动相吻合，德国检察官已对一名名叫托马斯·H 的军官提起间谍指控。他被指控代表俄罗斯情报部门进行间谍活动，涉及传输未指明的敏感信息。托马斯·H 于 2023 年 8 月被捕。