A WINELOADER Backdoor bevetése a német célpontok ellen
Az orosz kötődésű fenyegetés szereplői a WINELOADER hátsó ajtót telepítették a német politikai szervezetek ellen irányuló közelmúltbeli kibertámadások során. 2024 februárjának végén a Mandiant kutatói azonosították az Oroszországgal kapcsolatban álló APT29 csoportot, amely a WINELOADER hátsó ajtó módosított változatát használja a német politikai pártok megcélzására, a Kereszténydemokrata Unió (CDU) témájú csábítással.
Ez az első olyan eset, amikor a Mandiant megfigyelte, hogy az APT29 alklaszter erőfeszítéseit politikai entitások felé irányítja, jelezve, hogy a diplomáciai missziókra való szokásos összpontosításon túl is növekvő érdeklődés mutatkozik. A célcsoportok német nyelven írt adathalász e-maileket kaptak, amelyek állítólag a március 1-jei vacsorafogadásra hívták meg a CDU logóját. Ezek az e-mailek egy linket tartalmaztak, amely egy feltört webhelyen tárolt rosszindulatú ZIP-fájlhoz vezetett.
A ZIP-fájlon belül volt egy ROOTSAW dropper, amelyet egy, szintén a CDU köré épülő, második lépcsős csalogató dokumentum telepítésére használtak, valamint egy WINELOADER rakományt, amelyet a „waterforvoiceless[.]org/util.php” webhelyről szereztek be. A WINELOADER hátsó ajtó számos olyan tulajdonsággal és funkcióval büszkélkedhet, amelyek átfedésben vannak az APT29 arzenáljában található más rosszindulatú programokkal, mint például a BURNTBATTER, MUSKYBEAT és BEATDROP, jelezve a valószínű közös eredetet.
WINELOADER támadási vektor és beszivárgási módszer
A WINELOADER a DLL oldali betöltésén keresztül indul el egy legitim Windows futtatható fájlba, majd a fő implantációs logika dekódolása következik az RC4 használatával. A Zscaler ThreatLabz először 2023 februárjában azonosította a WINELOADER-t, és a kampányt a SPIKEDWINE néven ismert APT-nek tulajdonította.
Zscaler arra figyelmeztetett, hogy SPIKEDWINE-t, egy korábban azonosítatlan fenyegetést figyeltek meg európai tisztviselők ellen. A kiberkémek az indiai nagykövet meghívólevelének álcázott csali PDF-dokumentumot használtak, és meghívták a diplomatákat egy borkóstolóra 2024 februárjában.
A kampányt alacsony volumen és fejlett taktikák, technikák és eljárások (TTP) alkalmazása jellemzi a fenyegető szereplők által. A jelentés arra a következtetésre jut, hogy az SVR politikai hírszerzési mandátuma és az APT29 klaszter történelmi célzási mintái alapján ez a tevékenység jelentős veszélyt jelent az európai és más nyugati politikai pártokra a politikai spektrumon keresztül.