WINELOADER後門

據信，部署 WINELOADER 後門的網路攻擊是由與俄羅斯對外情報局 (SVR) 有聯繫的駭客組織發起的。該組織被稱為Midnight Blizzard （也稱為 APT29、BlueBravo 或 Cozy Bear），因參與 SolarWinds 和 Microsoft 等違規行為而臭名昭著。該後門先前曾被用於透過品酒釣魚誘餌對外交實體進行攻擊。

研究人員發現的證據表明，Midnight Blizzard 在 2024 年 2 月下旬利用該惡意軟體針對德國政黨，使用帶有基督教民主聯盟 (CDU) 徽標的網路釣魚電子郵件。這標誌著首次觀察到APT29專門針對政黨，顯示其行動重點可能從傳統外交使命轉移。

WINELOADER 後門透過多階段攻擊鏈感染受害者

2024 年 2 月，研究人員披露了 WINELOADER 的存在，這是據信於 2023 年 7 月開始的持續網路間諜活動的一部分。該活動歸因於一個名為 SPIKEDWINE 的集群。

攻擊策略涉及包含德語內容的網路釣魚電子郵件，旨在以晚宴邀請的承諾引誘收件人。這些電子郵件旨在誘騙收件人點擊欺騙性鏈接，從而導致下載名為 ROOTSAW（也稱為EnvyScout ）的惡意 HTML 應用程式 (HTA) 檔案。 ROOTSAW 充當初始釋放器，促進從遠端伺服器傳送 WINELOADER。

網路釣魚電子郵件中的德語誘餌文件將受害者引導至由攻擊者控制的受感染網站上託管的惡意 ZIP 檔案。此 ZIP 檔案包含 ROOTSAW 滴管。執行後，ROOTSAW 會交付一份以基督教民主聯盟 (CDU) 為主題的第二階段誘餌文件，並隨後部署 WINELOADER 有效負載。

WINELOADER 透過合法的 sqldumper.exe 利用 DLL 側面加載，具有與威脅參與者控制的伺服器建立通訊的能力，從而能夠在受感染的主機上檢索和執行其他模組。

分析揭示了 WINELOADER 和與 APT29 相關的其他惡意軟體家族（例如 BURNTBATTER、MUSKYBEAT 和 BEATDROP）之間的相似之處，暗示了共同的開發人員或開發方法。此外，2024 年 1 月下旬，在針對捷克共和國、德國、印度、義大利、拉脫維亞和秘魯等多個國家的外交實體的一次行動中，發現了 WINELOADER。

APT29 可能會擴大其範圍以納入新目標

ROOTSAW 仍然是 APT29 旨在收集外國政治情報的初始滲透戰略的關鍵組成部分。利用這一第一階段惡意軟體來針對德國政黨，標誌著與該 APT29 子集群相關的典型外交目標的明顯背離。這一轉變無疑反映了SVR對從政黨和民間社會其他方面獲取資訊的濃厚興趣，這些資訊可能支持莫斯科的地緣政治目標。

這一事態發展與德國採取的法律行動同時發生，德國檢察官對一名名叫托馬斯·H (Thomas H) 的軍官提出間諜指控。他被指控代表俄羅斯情報部門進行間諜活動，涉及傳輸未指明的敏感資訊。 Thomas H. 於 2023 年 8 月被捕。