Το WINELOADER Backdoor αναπτύχθηκε ενάντια σε γερμανικούς στόχους

Φορείς απειλών που συνδέονται με τη Ρωσία έχουν αναπτύξει την κερκόπορτα WINELOADER σε πρόσφατες επιθέσεις στον κυβερνοχώρο που απευθύνονται σε γερμανικές πολιτικές οργανώσεις. Στα τέλη Φεβρουαρίου του 2024, ερευνητές από τη Mandiant αναγνώρισαν τη συνδεδεμένη με τη Ρωσία ομάδα APT29 που χρησιμοποιεί μια τροποποιημένη έκδοση του backdoor WINELOADER για να στοχεύσει γερμανικά πολιτικά κόμματα, χρησιμοποιώντας ένα δέλεαρ με θέμα τη Χριστιανοδημοκρατική Ένωση (CDU).

Αυτό σηματοδοτεί την πρώτη περίπτωση της Mandiant που παρατηρεί την υποομάδα APT29 να κατευθύνει τις προσπάθειές της προς πολιτικές οντότητες, υποδηλώνοντας ένα αυξανόμενο ενδιαφέρον πέρα από τη συνήθη εστίασή τους στις διπλωματικές αποστολές. Οι στοχευμένες ομάδες έλαβαν μηνύματα ηλεκτρονικού ψαρέματος, γραμμένα στα γερμανικά, τα οποία υποτίθεται ότι ήταν προσκλήσεις σε δείπνο την 1η Μαρτίου, με το λογότυπο του CDU. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν έναν σύνδεσμο που οδηγεί σε ένα κακόβουλο αρχείο ZIP που φιλοξενείται σε έναν παραβιασμένο ιστότοπο.

Μέσα στο αρχείο ZIP υπήρχε ένα σταγονόμετρο ROOTSAW, το οποίο χρησιμοποιήθηκε για την ανάπτυξη ενός εγγράφου δέλεαρ δεύτερου σταδίου επίσης με θέμα το CDU, μαζί με ένα ωφέλιμο φορτίο WINELOADER που ανακτήθηκε από τον ιστότοπο "waterforvoiceless[.]org/util.php". Η κερκόπορτα WINELOADER διαθέτει πολλαπλές δυνατότητες και λειτουργίες που επικαλύπτονται με άλλα κακόβουλα προγράμματα στο οπλοστάσιο του APT29, όπως το BURNTBATTER, το MUSKYBEAT και το BEATDROP, υποδεικνύοντας μια πιθανή κοινή προέλευση.

WINELOADER Επίθεση Διάνυσμα και Μέθοδος Διείσδυσης

Το WINELOADER εκκινείται μέσω φόρτωσης από την πλευρά του DLL σε ένα νόμιμο εκτελέσιμο αρχείο των Windows, που ακολουθείται από αποκρυπτογράφηση της κύριας λογικής εμφυτεύματος χρησιμοποιώντας το RC4. Το Zscaler ThreatLabz αναγνώρισε αρχικά το WINELOADER τον Φεβρουάριο του 2023, αποδίδοντας την καμπάνια σε ένα APT γνωστό ως SPIKEDWINE.

Ο Zscaler προειδοποίησε ότι ο SPIKEDWINE, ένας προηγουμένως άγνωστος παράγοντας απειλών, είχε παρατηρηθεί να στοχεύει Ευρωπαίους αξιωματούχους. Οι διαδικτυακοί κατάσκοποι χρησιμοποίησαν ένα δόλωμα έγγραφο PDF που μεταμφιέζεται ως επιστολή πρόσκλησης από τον Πρέσβη της Ινδίας, προσκαλώντας διπλωμάτες σε μια εκδήλωση γευσιγνωσίας κρασιού τον Φεβρουάριο του 2024.

Η εκστρατεία χαρακτηρίζεται από τον χαμηλό όγκο της και τη χρήση προηγμένων τακτικών, τεχνικών και διαδικασιών (TTP) από τους παράγοντες της απειλής. Η έκθεση καταλήγει στο συμπέρασμα ότι, με βάση την εντολή του SVR να συγκεντρώσει πολιτικές πληροφορίες και τα ιστορικά πρότυπα στόχευσης αυτού του συμπλέγματος APT29, αυτή η δραστηριότητα αποτελεί σημαντική απειλή για τα ευρωπαϊκά και άλλα δυτικά πολιτικά κόμματα σε όλο το πολιτικό φάσμα.