针对德国目标部署 WINELOADER 后门
与俄罗斯相关的威胁行为者在最近针对德国政治组织的网络攻击中部署了 WINELOADER 后门。 2024 年 2 月下旬,Mandiant 的研究人员发现与俄罗斯相关的组织 APT29 利用 WINELOADER 后门的修改版本来针对德国政党,并采用了以基督教民主联盟 (CDU) 为主题的诱饵。
这标志着 Mandiant 首次观察到 APT29 子集群将其努力转向政治实体,这表明他们对外交任务的关注超出了他们通常的关注范围。目标群体收到了用德语编写的网络钓鱼电子邮件,声称是 3 月 1 日晚宴邀请函,带有基民盟标志。这些电子邮件包含指向受感染网站上托管的恶意 ZIP 文件的链接。
ZIP 文件中包含一个 ROOTSAW dropper,用于部署同样以 CDU 为主题的第二阶段诱饵文件,以及从网站“waterforvoiceless[.]org/util.php”检索到的 WINELOADER 负载。 WINELOADER 后门拥有与 APT29 武器库中的其他恶意软件重叠的多个特性和功能,例如 BURNTBATTER、MUSKYBEAT 和 BEATDROP,这表明可能有共同的起源。
WINELOADER 攻击向量和渗透方法
WINELOADER 是通过 DLL 端加载到合法的 Windows 可执行文件中启动的,然后使用 RC4 解密主要植入逻辑。 Zscaler ThreatLabz 最初于 2023 年 2 月识别出 WINELOADER,并将该活动归因于名为 SPIKEDWINE 的 APT。
Zscaler 警告说,此前身份不明的威胁组织 SPIKEDWINE 已被发现针对欧洲官员。网络间谍利用 PDF 诱饵文件伪装成印度大使的邀请函,邀请外交官参加 2024 年 2 月的品酒活动。
该活动的特点是数量少,并且威胁行为者使用了先进的战术、技术和程序 (TTP)。报告的结论是,根据 SVR 收集政治情报的任务以及 APT29 集群的历史目标模式,这一活动对欧洲和其他西方政治派别构成了重大威胁。