針對德國目標部署 WINELOADER 後門
與俄羅斯相關的威脅行為者在最近針對德國政治組織的網路攻擊中部署了 WINELOADER 後門。 2024 年 2 月下旬,Mandiant 的研究人員發現與俄羅斯相關的組織 APT29 利用 WINELOADER 後門的修改版本來針對德國政黨,並採用了以基督教民主聯盟 (CDU) 為主題的誘餌。
這標誌著 Mandiant 首次觀察到 APT29 子集群將其努力轉向政治實體,這表明他們對外交任務的關注超出了他們通常的關注範圍。目標群體收到了用德語編寫的網路釣魚電子郵件,聲稱是 3 月 1 日晚宴邀請函,帶有基民盟標誌。這些電子郵件包含受感染網站上託管的惡意 ZIP 檔案的連結。
ZIP 檔案中包含一個 ROOTSAW dropper,用於部署同樣以 CDU 為主題的第二階段誘餌文件,以及從網站「waterforvoiceless[.]org/util.php」檢索到的 WINELOADER 負載。 WINELOADER 後門擁有與 APT29 武器庫中的其他惡意軟體重疊的多個特性和功能,例如 BURNTBATTER、MUSKYBEAT 和 BEATDROP,這表明可能有共同的起源。
WINELOADER 攻擊向量和滲透方法
WINELOADER 是透過 DLL 端載入到合法的 Windows 執行檔中啟動的,然後使用 RC4 解密主要植入邏輯。 Zscaler ThreatLabz 最初於 2023 年 2 月識別出 WINELOADER,並將活動歸因於名為 SPIKEDWINE 的 APT。
Zscaler 警告稱,此前身份不明的威脅組織 SPIKEDWINE 已被發現針對歐洲官員。網路間諜利用 PDF 誘餌文件偽裝成印度大使的邀請函,邀請外交官參加 2024 年 2 月的品酒活動。
此活動的特點是數量少且威脅行為者使用先進的戰術、技術和程序 (TTP)。報告的結論是,根據 SVR 收集政治情報的任務以及 APT29 集群的歷史目標模式,這項活動對歐洲和其他西方政治派別構成了重大威脅。