خانه » سوء استفاده هکرهای روسی از بکدور WINELOADER برای نفوذ به احزاب سیاسی آلمان

سوء استفاده هکرهای روسی از بکدور WINELOADER برای نفوذ به احزاب سیاسی آلمان

توسط Vulnerbyte
210 بازدید
بکدور WINELOADER

بکدور WINELOADER در حملات سایبری اخیر، نهادهای دیپلماتیک را توسط طعمه‌های فریبنده فیشینگ مورد هدف قرار داده است. این فعالیت مخرب به یک گروه هکری مرتبط با سرویس اطلاعات خارجی روسیه (SVR) نسبت داده شده است که مسئول نفوذ به SolarWinds و مایکروسافت نیز می‌باشد.

این یافته‌ها از سوی Mandiant گزارش شده است و حاکی از آن می‌باشد کهMidnight Blizzard  (با نام مستعار APT29، BlueBravo یا Cozy Bear) از این بدافزار برای نفوذ به احزاب سیاسی آلمان توسط ایمیل‌های فیشینگ حاوی آرم اتحادیه دموکرات مسیحی (CDU) در حوالی 26 فوریه 2024 استفاده کرده است.

بکدور WINELOADER

این اولین باری است که ما شاهد آن هستیم که خوشه APT29، احزاب سیاسی را مورد هدف قرار داده است و این نشان ‌دهنده حوزه احتمالی تمرکز عملیاتی در حال ظهور فراتر از هدف‌گیری معمولی مأموریت‌های دیپلماتیک است.

بکدور WINELOADER اولین بار توسط آزمایشگاه تحقیقاتی Zscaler  در ماه گذشته به عنوان بخشی از یک کمپین جاسوسی سایبری که گمان می‌رود حداقل از ژوئیه 2023 ادامه داشته است، فاش گردید و این فعالیت را به خوشه‌ای به نام SPIKEDWINE نسبت داد.

زنجیره‌های حمله از ایمیل‌های فیشینگ با محتوای فریبنده آلمانی زبان استفاده می‌کنند که ظاهراً دعوتی برای یک مهمانی شام است تا گیرندگان را فریب دهند بر روی پیوند جعلی کلیک نمایند و یک فایل اپلیکیشن HTML مخرب (HTA) را دانلود کنند. این فایل بارگیری شده، یک فایل نصب کننده بدافزار مرحله اول به نام ROOTSAW (معروف به EnvyScout) است که به عنوان مجرایی برای تحویل بکدور WINELOADER از یک سرور راه دور عمل می‌کند.

سند طعمه فریبنده به زبان آلمانی حاوی یک لینک فیشینگ است که قربانیان را به یک فایل ZIP مخرب حاوی یک فایل نصب کننده ROOTSAW میزبانی شده در یک وب سایت تحت کنترل مهاجم هدایت می‌کند. ROOTSAW یک سند فریبنده با مضمون CDU مرحله دوم و یک پیلود مرحله بعدی به نام WINELOADER را ارائه می‌دهد.

بکدور WINELOADER که از طریق تکنیکی به نام بارگذاری جانبی DLL با استفاده از sqldumper.exe قانونی فراخوانی می‌شود، مجهز به توانایی تماس با سرور کنترل‌ شده توسط مهاجم و واکشی ماژول‌های اضافی برای اجرا در میزبان‌های تحت نفوذ است.

گفته می‌شود که WINELOADER شباهت‌هایی با خانواده‌های بدافزار شناخته شده APT29 مانند BURNTBATTER، MUSKYBEAT و BEATDROP دارد که نشان دهنده کار یک توسعه دهنده معمولی است.

WINELOADER، طبق زیرمجموعه Google Cloud، همچنین در عملیاتی به کار گرفته شده است که نهادهای دیپلماتیک در جمهوری چک، آلمان، هند، ایتالیا، لتونی و پرو را در اواخر ژانویه 2024 مورد هدف قرار داده است.

ROOTSAW همچنان جزء اصلی تلاش‌های دسترسی اولیه APT29 برای جمع آوری اطلاعات سیاست خارجه است.

استفاده گسترده بدافزار مرحله اول برای نفوذ به احزاب سیاسی آلمان، انحراف مشخصی از تمرکز دیپلماتیک معمول این زیرشاخه APT29 است و تقریباً به طور قطع نشان دهنده علاقه SVR به جمع آوری اطلاعات از احزاب سیاسی و سایر جنبه های جامعه مدنی است که می‌تواند به پیشرفت منافع ژئوپلیتیکی مسکو کمک کند.

این تحولات در حالی صورت می‌پذیردکه دادستان‌های آلمان، یک افسر نظامی به نام توماس اچ را به اتهام جاسوسی متهم کرده‌اند که گفته می‌شود او در حال جاسوسی از سوی سرویس‌های اطلاعاتی روسیه و انتقال اطلاعات حساس نامشخص در آگوست 2023 دستگیر شده است.

دفتر دادستان فدرال در این خصوص اظهار داشت که این فرد از ماه مِی 2023، چندین بار به اختیار خود به سرکنسولگری روسیه در بُن و سفارت روسیه در برلین مراجعه کرده و پیشنهاد همکاری داده است. وی در یک مورد، اطلاعاتی را که در جریان فعالیت‌های حرفه ای خود به دست آورده بود به سرویس اطلاعاتی روسیه مخابره کرده است.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید