Бэкдор WINELOADER развернут против немецких целей
Связанные с Россией злоумышленники использовали бэкдор WINELOADER в ходе недавних кибератак, направленных на немецкие политические организации. В конце февраля 2024 года исследователи из Mandiant выявили связанную с Россией группу APT29, использующую модифицированную версию бэкдора WINELOADER для нападения на немецкие политические партии, используя приманку на тему Христианско-демократического союза (ХДС).
Это знаменует собой первый случай, когда Mandiant наблюдает, как подкластер APT29 направляет свои усилия на политические образования, что указывает на растущий интерес, выходящий за рамки их обычного внимания к дипломатическим миссиям. Целевые группы получили фишинговые электронные письма на немецком языке, якобы являвшиеся приглашениями на ужин 1 марта с логотипом ХДС. Эти электронные письма содержали ссылку, ведущую на вредоносный ZIP-файл, размещенный на взломанном веб-сайте.
В ZIP-файле находился дроппер ROOTSAW, используемый для развертывания документа-приманки второго этапа, также посвященного CDU, а также полезная нагрузка WINELOADER, полученная с сайта «waterforvoiceless[.]org/util.php». Бэкдор WINELOADER может похвастаться множеством функций и функций, которые совпадают с другими вредоносными программами из арсенала APT29, такими как BURNTBATTER, MUSKYBEAT и BEATDROP, что указывает на вероятное общее происхождение.
Вектор атаки WINELOADER и метод проникновения
WINELOADER инициируется путем загрузки боковой библиотеки DLL в законный исполняемый файл Windows с последующей расшифровкой основной логики имплантации с использованием RC4. Zscaler ThreatLabz первоначально идентифицировал WINELOADER в феврале 2023 года, приписав кампанию APT, известному как SPIKEDWINE.
Зскалер предупредил, что ранее неизвестный злоумышленник SPIKEDWINE был замечен в нападениях на европейских чиновников. Кибершпионы использовали PDF-документ-приманку, замаскированный под приглашение от посла Индии, пригласив дипломатов на дегустацию вин в феврале 2024 года.
Кампания характеризуется небольшим объемом и использованием передовых тактик, методов и процедур (TTP) участниками угроз. В докладе делается вывод, что, исходя из мандата СВР по сбору политической разведки и исторических моделей нацеливания этого кластера APT29, эта деятельность представляет собой значительную угрозу европейским и другим западным политическим партиям всего политического спектра.