WINELOADER-Hintertür gegen deutsche Ziele eingesetzt
Mit Russland verbundene Bedrohungsakteure haben die WINELOADER-Hintertür bei jüngsten Cyberangriffen gegen deutsche politische Organisationen eingesetzt. Ende Februar 2024 identifizierten Forscher von Mandiant die mit Russland verbundene Gruppe APT29, die eine modifizierte Version der WINELOADER-Hintertür nutzte, um deutsche politische Parteien anzugreifen und dabei einen Köder rund um die Christlich-Demokratische Union (CDU) einsetzte.
Dies ist das erste Mal, dass Mandiant beobachtet, dass der APT29-Subcluster seine Bemühungen auf politische Einheiten richtet, was auf ein wachsendes Interesse hinweist, das über den üblichen Fokus auf diplomatische Missionen hinausgeht. Die Zielgruppen erhielten auf Deutsch verfasste Phishing-E-Mails, bei denen es sich angeblich um Einladungen zu einem Dinner-Empfang am 1. März handelte, auf denen das CDU-Logo abgebildet war. Diese E-Mails enthielten einen Link, der zu einer schädlichen ZIP-Datei führte, die auf einer manipulierten Website gehostet wurde.
In der ZIP-Datei befand sich ein ROOTSAW-Dropper, der zum Bereitstellen eines Köderdokuments der zweiten Stufe verwendet wurde, das sich ebenfalls um die CDU drehte, sowie eine WINELOADER-Nutzlast, die von der Website „waterforvoiceless[.]org/util.php“ abgerufen wurde. Die WINELOADER-Backdoor verfügt über mehrere Features und Funktionen, die sich mit anderen Malware im Arsenal von APT29 überschneiden, wie etwa BURNTBATTER, MUSKYBEAT und BEATDROP, was auf einen wahrscheinlichen gemeinsamen Ursprung hinweist.
WINELOADER-Angriffsvektor und Infiltrationsmethode
WINELOADER wird durch seitliches Laden der DLL in eine legitime ausführbare Windows-Datei initiiert, gefolgt von der Entschlüsselung der Hauptimplantationslogik mithilfe von RC4. Zscaler ThreatLabz identifizierte WINELOADER erstmals im Februar 2023 und führte die Kampagne einem APT namens SPIKEDWINE zu.
Zscaler warnte, dass SPIKEDWINE, ein bisher nicht identifizierter Bedrohungsakteur, dabei beobachtet wurde, wie er europäische Beamte ins Visier nahm. Die Cyberspione nutzten als Köder ein PDF-Dokument, das als Einladungsschreiben des indischen Botschafters getarnt war und Diplomaten zu einer Weinprobe im Februar 2024 einlud.
Die Kampagne zeichnet sich durch ihr geringes Volumen und den Einsatz fortschrittlicher Taktiken, Techniken und Verfahren (TTPs) durch die Bedrohungsakteure aus. Der Bericht kommt zu dem Schluss, dass diese Aktivität basierend auf dem Auftrag des SVR, politische Informationen zu sammeln, und den historischen Zielmustern dieses APT29-Clusters eine erhebliche Bedrohung für europäische und andere westliche politische Parteien im gesamten politischen Spektrum darstellt.