Backdoor WINELOADER zastosowany przeciwko niemieckim celom

Powiązane z Rosją ugrupowania cyberprzestępcze wykorzystały backdoora WINELOADER w ostatnich atakach cybernetycznych skierowanych na niemieckie organizacje polityczne. Pod koniec lutego 2024 r. badacze z Mandiant zidentyfikowali powiązaną z Rosją grupę APT29 wykorzystującą zmodyfikowaną wersję backdoora WINELOADER do atakowania niemieckich partii politycznych, wykorzystując w ten sposób przynętę związaną z Unią Chrześcijańsko-Demokratyczną (CDU).

Jest to pierwszy przypadek, w którym Mandiant obserwuje, jak podklaster APT29 kieruje swoje wysiłki w stronę podmiotów politycznych, co wskazuje na rosnące zainteresowanie wykraczające poza ich zwykłe skupienie się na misjach dyplomatycznych. Docelowe grupy otrzymywały e-maile phishingowe, napisane w języku niemieckim, rzekomo stanowiące zaproszenia na przyjęcie w dniu 1 marca, oznaczone logo CDU. Te e-maile zawierały łącze prowadzące do złośliwego pliku ZIP znajdującego się na zainfekowanej witrynie internetowej.

W pliku ZIP znajdował się dropper ROOTSAW, wykorzystany do wdrożenia dokumentu przynęty drugiego etapu, również nawiązującego do CDU, wraz z ładunkiem WINELOADER pobranym ze strony „waterforvoiceless[.]org/util.php”. Backdoor WINELOADER oferuje wiele cech i funkcji, które pokrywają się z innymi szkodliwymi programami w arsenale APT29, takimi jak BURNTBATTER, MUSKYBEAT i BEATDROP, co wskazuje na prawdopodobne wspólne pochodzenie.

Wektor ataku i metoda infiltracji WINELOADER

WINELOADER jest inicjowany poprzez załadowanie strony DLL do legalnego pliku wykonywalnego Windows, po czym następuje odszyfrowanie głównej logiki implantu przy użyciu RC4. Zscaler ThreatLabz początkowo zidentyfikował WINELOADER w lutym 2023 r., przypisując kampanię APT znanemu jako SPIKEDWINE.

Zscaler ostrzegł, że zaobserwowano, że SPIKEDWINE, wcześniej niezidentyfikowany ugrupowanie zagrażające, atakuje europejskich urzędników. Cyberszpiedzy wykorzystali dokument PDF będący przynętą udający zaproszenie od Ambasadora Indii, zapraszające dyplomatów na degustację wina w lutym 2024 r.

Kampania charakteryzuje się niewielkim wolumenem oraz wykorzystaniem przez cyberprzestępców zaawansowanych taktyk, technik i procedur (TTP). W raporcie stwierdza się, że w oparciu o mandat SVR dotyczący gromadzenia danych wywiadowczych oraz historycznych wzorców celów tego klastra APT29 działalność ta stanowi poważne zagrożenie dla europejskich i innych zachodnich partii politycznych z całego spektrum politycznego.