WINELOADER Backdoor schierato contro obiettivi tedeschi
Gli autori di minacce affiliati alla Russia hanno implementato la backdoor WINELOADER nei recenti attacchi informatici diretti contro organizzazioni politiche tedesche. Alla fine di febbraio 2024, i ricercatori di Mandiant hanno identificato il gruppo associato alla Russia APT29 che utilizzava una versione modificata della backdoor WINELOADER per prendere di mira i partiti politici tedeschi, utilizzando un'esca a tema Unione Cristiano-Democratica (CDU).
Ciò segna il primo caso in cui Mandiant osserva il sottocluster APT29 dirigere i propri sforzi verso entità politiche, indicando un interesse crescente oltre la consueta attenzione alle missioni diplomatiche. I gruppi presi di mira hanno ricevuto e-mail di phishing, scritte in tedesco, che si presentavano come inviti alla cena del 1° marzo, con il logo della CDU. Queste e-mail contenevano un collegamento che portava a un file ZIP dannoso ospitato su un sito Web compromesso.
All'interno del file ZIP c'era un contagocce ROOTSAW, utilizzato per distribuire un documento di esca di seconda fase anch'esso a tema CDU, insieme a un payload WINELOADER recuperato dal sito "waterforvoiceless[.]org/util.php". La backdoor WINELOADER vanta molteplici caratteristiche e funzioni che si sovrappongono ad altri malware nell'arsenale di APT29, come BURNTBATTER, MUSKYBEAT e BEATDROP, indicando una probabile origine comune.
WINELOADER Vettore di attacco e metodo di infiltrazione
WINELOADER viene avviato tramite il caricamento laterale della DLL in un eseguibile Windows legittimo, seguito dalla decrittografia della logica dell'impianto principale utilizzando RC4. Zscaler ThreatLabz ha inizialmente identificato WINELOADER nel febbraio 2023, attribuendo la campagna a un APT noto come SPIKEDWINE.
Zscaler ha avvertito che SPIKEDWINE, un attore di minacce precedentemente non identificato, è stato osservato mentre prendeva di mira funzionari europei. Le spie informatiche hanno utilizzato un documento PDF come esca mascherato da lettera di invito dell'ambasciatore indiano, che invitava i diplomatici a un evento di degustazione di vini nel febbraio 2024.
La campagna è caratterizzata dal volume ridotto e dall’utilizzo di tattiche, tecniche e procedure avanzate (TTP) da parte degli autori delle minacce. Il rapporto conclude che, sulla base del mandato dell’SVR di raccogliere informazioni politiche e dei modelli storici di targeting di questo cluster APT29, questa attività rappresenta una minaccia significativa per i partiti politici europei e altri occidentali in tutto lo spettro politico.
