De WINELOADER-achterdeur die werd gebruikt bij recente cyberaanvallen gericht op diplomatieke entiteiten met wijnproevende phishing-lokmiddelen wordt toegeschreven als het werk van een hackgroep met banden met de Russische Buitenlandse Inlichtingendienst (SVR), die verantwoordelijk was voor het binnendringen van SolarWinds en Microsoft.
De bevindingen zijn afkomstig van Mandiant, die zegt dat Midnight Blizzard (ook bekend als APT29, BlueBravo of Cosy Bear) de malware rond 26 februari 2024 gebruikte om Duitse politieke partijen te targeten met phishing-e-mails met een logo van de Christen-Democratische Unie (CDU).
“Dit is de eerste keer dat we zien dat dit APT29-cluster zich richt op politieke partijen, wat wijst op een mogelijk gebied van opkomende operationele focus dat verder gaat dan de typische doelwitten van diplomatieke missies”, aldus onderzoekers Luke Jenkins en Dan Black.
WINELOADER werd vorige maand voor het eerst onthuld door Zscaler ThreatLabz als onderdeel van een cyberspionagecampagne die vermoedelijk al sinds juli 2023 aan de gang is. De activiteit werd toegeschreven aan een cluster genaamd SPIKEDWINE.
Aanvalsketens maken gebruik van phishing-e-mails met Duitstalige lokinhoud die zich voordoet als een uitnodiging voor een dinerreceptie om de ontvangers te misleiden om op een valse link te klikken en een frauduleus HTML-toepassingsbestand (HTA) te downloaden, een eerste-fase-dropper genaamd ROOTSAW (ook bekend als EnvyScout) die fungeert als kanaal om WINELOADER vanaf een externe server te leveren.
“Het Duitstalige lokdocument bevat een phishing-link die slachtoffers naar een kwaadaardig ZIP-bestand leidt met daarin een ROOTSAW-dropper die wordt gehost op een door een acteur gecontroleerde gecompromitteerde website”, aldus de onderzoekers. “ROOTSAW leverde een lokdocument met CDU-thema in de tweede fase en een WINELOADER-payload in de volgende fase.”
WINELOADER, aangeroepen via een techniek genaamd DLL side-loading met behulp van de legitieme sqldumper.exe, is uitgerust met mogelijkheden om contact op te nemen met een door een acteur bestuurde server en extra modules op te halen voor uitvoering op de aangetaste hosts.
Er wordt gezegd dat het overeenkomsten vertoont met bekende APT29-malwarefamilies zoals BURNTBATTER, MUSKYBEAT en BEATDROP, wat duidt op het werk van een gemeenschappelijke ontwikkelaar.
WINELOADER is, volgens de dochteronderneming van Google Cloud, eind januari 2024 ook ingezet bij een operatie gericht op diplomatieke entiteiten in Tsjechië, Duitsland, India, Italië, Letland en Peru.
“ROOTSAW blijft het centrale onderdeel van APT29’s initiële toegangspogingen om buitenlandse politieke inlichtingen te verzamelen”, aldus het bedrijf.
“Het uitgebreide gebruik van malware in de eerste fase om zich te richten op Duitse politieke partijen is een opmerkelijke afwijking van de typische diplomatieke focus van dit APT29-subcluster, en weerspiegelt vrijwel zeker de interesse van de SVR in het verzamelen van informatie van politieke partijen en andere aspecten van het maatschappelijk middenveld die de positie van Moskou vooruit zouden kunnen helpen.” geopolitieke belangen.”
De ontwikkeling komt op het moment dat Duitse aanklagers een militaire officier, genaamd Thomas H, hebben aangeklaagd voor spionagemisdrijven nadat hij naar verluidt was betrapt op spionage namens de Russische inlichtingendiensten en het doorgeven van niet-gespecificeerde gevoelige informatie. Hij werd in augustus 2023 gearresteerd.
“Vanaf mei 2023 heeft hij op eigen initiatief meerdere malen het Russische consulaat-generaal in Bonn en de Russische ambassade in Berlijn benaderd en aangeboden mee te werken”, aldus het Openbaar Ministerie. “Bij één gelegenheid heeft hij informatie die hij tijdens zijn beroepsactiviteiten had verkregen, doorgegeven aan een Russische inlichtingendienst.”
