WINELOADER Backdoor dislokuotas prieš Vokietijos taikinius
Su Rusija susiję grėsmės veikėjai panaudojo WINELOADER užpakalines duris pastaruoju metu kibernetiniuose išpuoliuose, nukreiptuose prieš Vokietijos politines organizacijas. 2024 m. vasario mėn. pabaigoje Mandiant tyrinėtojai nustatė su Rusija susijusią grupę APT29, naudojančią modifikuotą WINELOADER užpakalinių durų versiją, skirtą Vokietijos politinėms partijoms, pasitelkusią vilioklę, susijusią su Krikščionių demokratų sąjunga (CDU).
Tai pirmasis atvejis, kai Mandiant stebi APT29 poklasį, nukreiptą į politinius subjektus, o tai rodo, kad susidomėjimas auga ne tik įprastomis diplomatinėmis misijomis. Tikslinės grupės gavo sukčiavimo el. laiškus, parašytus vokiečių kalba, tariamai pakvietimus į vakarienę kovo 1 d. su CDU logotipu. Šiuose el. laiškuose buvo nuoroda į kenkėjišką ZIP failą, priglobtą pažeistoje svetainėje.
ZIP faile buvo ROOTSAW lašintuvas, naudojamas antrosios pakopos viliojimo dokumentui įdiegti, taip pat CDU tema, kartu su WINELOADER naudingu kroviniu, gautu iš svetainės „waterforvoiceless[.]org/util.php“. WINELOADER užpakalinės durys turi daug funkcijų ir funkcijų, kurios sutampa su kitomis APT29 arsenale esančiomis kenkėjiškomis programomis, tokiomis kaip BURNTBATTER, MUSKYBEAT ir BEATDROP, nurodant galimą bendrą kilmę.
WINELOADER atakos vektorius ir įsiskverbimo metodas
WINELOADER inicijuojamas per DLL šoninį įkėlimą į teisėtą „Windows“ vykdomąjį failą, po kurio iššifruojama pagrindinė implanto logika naudojant RC4. „Zscaler ThreatLabz“ iš pradžių nustatė WINELOADER 2023 m. vasario mėn., priskirdamas kampaniją APT, žinomą kaip SPIKEDWINE.
Zscaleris perspėjo, kad SPIKEDWINE, anksčiau nenustatytas grėsmės veikėjas, buvo pastebėtas nusitaikęs į Europos pareigūnus. Kibernetiniai šnipai panaudojo masalo PDF dokumentą, pridengtą Indijos ambasadoriaus kvietimu, kviečiančiu diplomatus į vyno degustacijos renginį 2024 m. vasario mėn.
Kampanija pasižymi maža apimtimi ir pažangiomis taktikos, technikos ir procedūrų (TTP) naudojimu grėsmės veikėjų. Ataskaitoje daroma išvada, kad, remiantis SVR mandatu rinkti politinę žvalgybą ir istoriniais šio APT29 klasterio taikymo modeliais, ši veikla kelia didelę grėsmę Europos ir kitoms Vakarų politinėms partijoms visame politiniame spektre.