بکدور WINELOADER در حملات سایبری اخیر، نهادهای دیپلماتیک را توسط طعمههای فریبنده فیشینگ مورد هدف قرار داده است. این فعالیت مخرب به یک گروه هکری مرتبط با سرویس اطلاعات خارجی روسیه (SVR) نسبت داده شده است که مسئول نفوذ به SolarWinds و مایکروسافت نیز میباشد.
این یافتهها از سوی Mandiant گزارش شده است و حاکی از آن میباشد کهMidnight Blizzard (با نام مستعار APT29، BlueBravo یا Cozy Bear) از این بدافزار برای نفوذ به احزاب سیاسی آلمان توسط ایمیلهای فیشینگ حاوی آرم اتحادیه دموکرات مسیحی (CDU) در حوالی 26 فوریه 2024 استفاده کرده است.
این اولین باری است که ما شاهد آن هستیم که خوشه APT29، احزاب سیاسی را مورد هدف قرار داده است و این نشان دهنده حوزه احتمالی تمرکز عملیاتی در حال ظهور فراتر از هدفگیری معمولی مأموریتهای دیپلماتیک است.
بکدور WINELOADER اولین بار توسط آزمایشگاه تحقیقاتی Zscaler در ماه گذشته به عنوان بخشی از یک کمپین جاسوسی سایبری که گمان میرود حداقل از ژوئیه 2023 ادامه داشته است، فاش گردید و این فعالیت را به خوشهای به نام SPIKEDWINE نسبت داد.
زنجیرههای حمله از ایمیلهای فیشینگ با محتوای فریبنده آلمانی زبان استفاده میکنند که ظاهراً دعوتی برای یک مهمانی شام است تا گیرندگان را فریب دهند بر روی پیوند جعلی کلیک نمایند و یک فایل اپلیکیشن HTML مخرب (HTA) را دانلود کنند. این فایل بارگیری شده، یک فایل نصب کننده بدافزار مرحله اول به نام ROOTSAW (معروف به EnvyScout) است که به عنوان مجرایی برای تحویل بکدور WINELOADER از یک سرور راه دور عمل میکند.
سند طعمه فریبنده به زبان آلمانی حاوی یک لینک فیشینگ است که قربانیان را به یک فایل ZIP مخرب حاوی یک فایل نصب کننده ROOTSAW میزبانی شده در یک وب سایت تحت کنترل مهاجم هدایت میکند. ROOTSAW یک سند فریبنده با مضمون CDU مرحله دوم و یک پیلود مرحله بعدی به نام WINELOADER را ارائه میدهد.
بکدور WINELOADER که از طریق تکنیکی به نام بارگذاری جانبی DLL با استفاده از sqldumper.exe قانونی فراخوانی میشود، مجهز به توانایی تماس با سرور کنترل شده توسط مهاجم و واکشی ماژولهای اضافی برای اجرا در میزبانهای تحت نفوذ است.
گفته میشود که WINELOADER شباهتهایی با خانوادههای بدافزار شناخته شده APT29 مانند BURNTBATTER، MUSKYBEAT و BEATDROP دارد که نشان دهنده کار یک توسعه دهنده معمولی است.
WINELOADER، طبق زیرمجموعه Google Cloud، همچنین در عملیاتی به کار گرفته شده است که نهادهای دیپلماتیک در جمهوری چک، آلمان، هند، ایتالیا، لتونی و پرو را در اواخر ژانویه 2024 مورد هدف قرار داده است.
ROOTSAW همچنان جزء اصلی تلاشهای دسترسی اولیه APT29 برای جمع آوری اطلاعات سیاست خارجه است.
استفاده گسترده بدافزار مرحله اول برای نفوذ به احزاب سیاسی آلمان، انحراف مشخصی از تمرکز دیپلماتیک معمول این زیرشاخه APT29 است و تقریباً به طور قطع نشان دهنده علاقه SVR به جمع آوری اطلاعات از احزاب سیاسی و سایر جنبه های جامعه مدنی است که میتواند به پیشرفت منافع ژئوپلیتیکی مسکو کمک کند.
این تحولات در حالی صورت میپذیردکه دادستانهای آلمان، یک افسر نظامی به نام توماس اچ را به اتهام جاسوسی متهم کردهاند که گفته میشود او در حال جاسوسی از سوی سرویسهای اطلاعاتی روسیه و انتقال اطلاعات حساس نامشخص در آگوست 2023 دستگیر شده است.
دفتر دادستان فدرال در این خصوص اظهار داشت که این فرد از ماه مِی 2023، چندین بار به اختیار خود به سرکنسولگری روسیه در بُن و سفارت روسیه در برلین مراجعه کرده و پیشنهاد همکاری داده است. وی در یک مورد، اطلاعاتی را که در جریان فعالیتهای حرفه ای خود به دست آورده بود به سرویس اطلاعاتی روسیه مخابره کرده است.
