WINELOADER Bakdörr utplacerad mot tyska mål
Ryskanslutna hotaktörer har placerat WINELOADER-bakdörren i de senaste cyberangreppen riktade mot tyska politiska organisationer. I slutet av februari 2024 identifierade forskare från Mandiant den Rysslandsassocierade gruppen APT29 som använder en modifierad version av WINELOADER-bakdörren för att rikta in sig på tyska politiska partier, med hjälp av ett lockbete med temat Christian Democratic Union (CDU).
Detta är det första fallet av Mandiant som observerar APT29-subklustret rikta sina ansträngningar mot politiska enheter, vilket indikerar ett växande intresse bortom deras vanliga fokus på diplomatiska uppdrag. De riktade grupperna fick nätfiske-e-postmeddelanden, skrivna på tyska, som påstods vara inbjudningar till en middagsmottagning den 1 mars, med CDU-logotypen. Dessa e-postmeddelanden innehöll en länk som ledde till en skadlig ZIP-fil som var värd på en utsatt webbplats.
Inom ZIP-filen fanns en ROOTSAW-droppare, som användes för att distribuera ett andra stegs lockdokument också med tema kring CDU, tillsammans med en WINELOADER-nyttolast hämtad från webbplatsen "waterforvoiceless[.]org/util.php". WINELOADER-bakdörren har flera funktioner och funktioner som överlappar med annan skadlig programvara i APT29:s arsenal, såsom BURNTBATTER, MUSKYBEAT och BEATDROP, vilket indikerar ett troligt gemensamt ursprung.
WINELOADER Attackvektor och infiltrationsmetod
WINELOADER initieras genom att DLL-sidan laddas in i en legitim körbar Windows-fil, följt av dekryptering av huvudimplantatlogiken med RC4. Zscaler ThreatLabz identifierade ursprungligen WINELOADER i februari 2023, och tillskrev kampanjen till en APT känd som SPIKEDWINE.
Zscaler varnade för att SPIKEDWINE, en tidigare oidentifierad hotaktör, hade observerats rikta in sig på europeiska tjänstemän. Cyberspionerna använde ett bete-PDF-dokument som maskerade sig som ett inbjudningsbrev från Indiens ambassadör och bjöd in diplomater till ett vinprovningsevenemang i februari 2024.
Kampanjen kännetecknas av dess låga volym och utnyttjandet av avancerad taktik, tekniker och procedurer (TTP) av hotaktörerna. Rapporten drar slutsatsen att, baserat på SVR:s mandat att samla in politisk intelligens och de historiska inriktningsmönstren för detta APT29-kluster, utgör denna verksamhet ett betydande hot mot europeiska och andra västerländska politiska partier över hela det politiska spektrumet.
