WINELOADER Bagdør indsat mod tyske mål
Russisk-tilknyttede trusselsaktører har indsat WINELOADER-bagdøren i de seneste cyberangreb rettet mod tyske politiske organisationer. I slutningen af februar 2024 identificerede forskere fra Mandiant den Rusland-associerede gruppe APT29 ved at bruge en modificeret version af WINELOADER-bagdøren til at målrette mod tyske politiske partier ved at bruge et lokkemiddel med temaet Den Kristelige Demokratiske Union (CDU).
Dette markerer det første tilfælde, hvor Mandiant observerer APT29-subklyngen, der retter sine bestræbelser mod politiske enheder, hvilket indikerer en voksende interesse ud over deres sædvanlige fokus på diplomatiske missioner. De målrettede grupper modtog phishing-e-mails, skrevet på tysk, der foregav at være invitationer til en middagsreception den 1. marts med CDU-logoet. Disse e-mails indeholdt et link, der førte til en ondsindet ZIP-fil, der var hostet på et kompromitteret websted.
I ZIP-filen var der en ROOTSAW-dropper, der blev brugt til at implementere et lokkedokument i anden fase, også med tema omkring CDU, sammen med en WINELOADER-nyttelast hentet fra webstedet "waterforvoiceless[.]org/util.php". WINELOADER-bagdøren kan prale af flere funktioner og funktioner, der overlapper med anden malware i APT29's arsenal, såsom BURNTBATTER, MUSKYBEAT og BEATDROP, hvilket indikerer en sandsynlig fælles oprindelse.
WINELOADER Angrebsvektor og infiltrationsmetode
WINELOADER initieres gennem DLL-sideindlæsning til en legitim Windows-eksekverbar fil, efterfulgt af dekryptering af hovedimplantatlogikken ved hjælp af RC4. Zscaler ThreatLabz identificerede oprindeligt WINELOADER i februar 2023 og tilskrev kampagnen en APT kendt som SPIKEDWINE.
Zscaler advarede om, at SPIKEDWINE, en tidligere uidentificeret trusselsaktør, var blevet observeret målrettet mod europæiske embedsmænd. Cyberspionerne brugte et lokkemiddel-PDF-dokument, der var maskeret som et invitationsbrev fra Indiens ambassadør, der inviterede diplomater til en vinsmagning i februar 2024.
Kampagnen er kendetegnet ved dens lave volumen og brugen af avancerede taktikker, teknikker og procedurer (TTP'er) af trusselsaktørerne. Rapporten konkluderer, at baseret på SVR's mandat til at indsamle politisk efterretning og de historiske målretningsmønstre for denne APT29-klynge, udgør denne aktivitet en væsentlig trussel mod europæiske og andre vestlige politiske partier på tværs af det politiske spektrum.
