WINELOADER Bakdør utplassert mot tyske mål
Russisk-tilknyttede trusselaktører har utplassert WINELOADER-bakdøren i nylige cyberangrep rettet mot tyske politiske organisasjoner. I slutten av februar 2024 identifiserte forskere fra Mandiant den Russland-assosierte gruppen APT29 ved å bruke en modifisert versjon av WINELOADER-bakdøren for å målrette mot tyske politiske partier, ved å bruke en lokke-tema rundt Christian Democratic Union (CDU).
Dette markerer det første tilfellet av at Mandiant observerte APT29-subklyngen rettet sin innsats mot politiske enheter, noe som indikerer en voksende interesse utover deres vanlige fokus på diplomatiske oppdrag. Målgruppene mottok phishing-e-poster, skrevet på tysk, som påstod å være invitasjoner til en middagsmottakelse 1. mars, med CDU-logoen. Disse e-postene inneholdt en lenke som førte til en ondsinnet ZIP-fil på et kompromittert nettsted.
Innenfor ZIP-filen var en ROOTSAW dropper, brukt til å distribuere et andre-trinns lokkedokument også med tema rundt CDU, sammen med en WINELOADER-nyttelast hentet fra nettstedet "waterforvoiceless[.]org/util.php". WINELOADER-bakdøren har flere funksjoner og funksjoner som overlapper med annen skadelig programvare i APT29s arsenal, slik som BURNTBATTER, MUSKYBEAT og BEATDROP, noe som indikerer en sannsynlig felles opprinnelse.
WINELOADER Angrepsvektor og infiltrasjonsmetode
WINELOADER initieres gjennom DLL-sidelasting i en legitim Windows-kjørbar, etterfulgt av dekryptering av hovedimplantatlogikken ved hjelp av RC4. Zscaler ThreatLabz identifiserte opprinnelig WINELOADER i februar 2023, og tilskrev kampanjen til en APT kjent som SPIKEDWINE.
Zscaler advarte om at SPIKEDWINE, en tidligere uidentifisert trusselaktør, hadde blitt observert rettet mot europeiske tjenestemenn. Nettspionene brukte et agn-PDF-dokument som var maskert som et invitasjonsbrev fra Indias ambassadør, og inviterte diplomater til en vinsmakingsarrangement i februar 2024.
Kampanjen er preget av lavt volum og bruk av avanserte taktikker, teknikker og prosedyrer (TTP) av trusselaktørene. Rapporten konkluderer med at, basert på SVRs mandat til å samle politisk etterretning og de historiske målrettingsmønstrene til denne APT29-klyngen, utgjør denne aktiviteten en betydelig trussel mot europeiske og andre vestlige politiske partier over hele det politiske spekteret.
