WINELOADER Achterdeur ingezet tegen Duitse doelen
Aan Rusland gelieerde dreigingsactoren hebben de WINELOADER-achterdeur ingezet bij recente cyberaanvallen gericht op Duitse politieke organisaties. Eind februari 2024 identificeerden onderzoekers van Mandiant de met Rusland geassocieerde groep APT29 die een aangepaste versie van de WINELOADER-achterdeur gebruikte om Duitse politieke partijen aan te vallen, waarbij ze een lokmiddel gebruikten met als thema de Christen-Democratische Unie (CDU).
Dit is het eerste voorbeeld waarin Mandiant observeert dat de APT29-subcluster zijn inspanningen richt op politieke entiteiten, wat wijst op een groeiende belangstelling die verder gaat dan hun gebruikelijke focus op diplomatieke missies. De doelgroepen ontvingen phishing-e-mails, geschreven in het Duits, die zogenaamd uitnodigingen waren voor een dinerreceptie op 1 maart, met het CDU-logo erop. Deze e-mails bevatten een link die leidde naar een kwaadaardig ZIP-bestand dat op een besmette website werd gehost.
In het ZIP-bestand zat een ROOTSAW-dropper, die werd gebruikt om een lokdocument in de tweede fase te implementeren, ook met als thema de CDU, naast een WINELOADER-payload opgehaald van de site "waterforvoiceless[.]org/util.php". De WINELOADER-achterdeur beschikt over meerdere kenmerken en functies die overlappen met andere malware in het arsenaal van APT29, zoals BURNTBATTER, MUSKYBEAT en BEATDROP, wat wijst op een waarschijnlijke gemeenschappelijke oorsprong.
WINELOADER Aanvalsvector en infiltratiemethode
WINELOADER wordt geïnitieerd door het zijdelings laden van DLL's in een legitiem Windows-uitvoerbaar bestand, gevolgd door decodering van de belangrijkste implantaatlogica met behulp van RC4. Zscaler ThreatLabz identificeerde WINELOADER aanvankelijk in februari 2023 en schreef de campagne toe aan een APT die bekend staat als SPIKEDWINE.
Zscaler waarschuwde dat SPIKEDWINE, een voorheen onbekende bedreigingsacteur, was waargenomen terwijl hij zich richtte op Europese functionarissen. De cyberspionnen gebruikten een pdf-document dat zich voordeed als een uitnodigingsbrief van de ambassadeur van India, waarin diplomaten werden uitgenodigd voor een wijnproeverij in februari 2024.
De campagne wordt gekenmerkt door het lage volume en het gebruik van geavanceerde tactieken, technieken en procedures (TTP's) door de dreigingsactoren. Het rapport concludeert dat, op basis van het mandaat van de SVR om politieke inlichtingen te verzamelen en de historische targetingpatronen van dit APT29-cluster, deze activiteit een aanzienlijke bedreiging vormt voor Europese en andere westerse politieke partijen in het hele politieke spectrum.