Backdoor WINELOADER được sử dụng trong các cuộc tấn công mạng gần đây nhắm vào các thực thể ngoại giao với mồi nhử lừa đảo nếm rượu vang đã được quy cho là tác phẩm thủ công của một nhóm hack có liên kết với Cơ quan Tình báo Nước ngoài của Nga (SVR), chịu trách nhiệm vi phạm SolarWinds và Microsoft.
Những phát hiện đến từ Mandiant, cho biết Midnight Blizzard (hay còn gọi là APT29, BlueBravo hoặc Cozy Bear) đã sử dụng phần mềm độc hại để nhắm mục tiêu vào các đảng chính trị Đức bằng các email lừa đảo có logo từ Liên minh Dân chủ Cơ đốc giáo (CDU) vào khoảng ngày 26 tháng 2 năm 2024.
"Đây là lần đầu tiên chúng tôi thấy cụm APT29 này nhắm vào các đảng chính trị, cho thấy một lĩnh vực có thể tập trung hoạt động ngoài việc nhắm mục tiêu điển hình vào các cơ quan ngoại giao", các nhà nghiên cứu Luke Jenkins và Dan Black cho biết.
WINELOADER lần đầu tiên được Zscaler ThreatLabz tiết lộ vào tháng trước như một phần của chiến dịch gián điệp mạng được cho là đã diễn ra ít nhất là từ tháng 7/2023. Nó quy kết hoạt động này cho một cụm có tên là SPIKEDWINE.
Các chuỗi tấn công tận dụng các email lừa đảo với nội dung thu hút bằng tiếng Đức có ý định là lời mời cho tiệc tối để lừa người nhận nhấp vào liên kết giả mạo và tải xuống tệp Ứng dụng HTML (HTA) giả mạo, một trình nhỏ giọt giai đoạn đầu tiên được gọi là ROOTSAW (hay còn gọi là EnvyScout) hoạt động như một ống dẫn để cung cấp WINELOADER từ một máy chủ từ xa.
"Tài liệu dụ dỗ bằng tiếng Đức chứa một liên kết lừa đảo hướng nạn nhân đến một tệp ZIP độc hại có chứa trình nhỏ giọt ROOTSAW được lưu trữ trên một trang web bị xâm nhập do tác nhân kiểm soát", các nhà nghiên cứu cho biết. "ROOTSAW đã cung cấp một tài liệu thu hút theo chủ đề CDU giai đoạn hai và tải trọng WINELOADER giai đoạn tiếp theo."
WINELOADER, được gọi thông qua một kỹ thuật gọi là DLL side-loading sử dụng sqldumper.exe hợp pháp, được trang bị khả năng liên hệ với máy chủ do tác nhân điều khiển và tìm nạp các mô-đun bổ sung để thực thi trên các máy chủ bị xâm nhập.
Nó được cho là có những điểm tương đồng với các họ phần mềm độc hại APT29 đã biết như BURNTBATTER, MUSKYBEAT và BEATDROP, cho thấy công việc của một nhà phát triển chung.
WINELOADER, theo công ty con Google Cloud, cũng đã được sử dụng trong một hoạt động nhắm vào các thực thể ngoại giao ở Cộng hòa Séc, Đức, Ấn Độ, Ý, Latvia và Peru vào cuối tháng 1/2024.
"ROOTSAW tiếp tục là thành phần trung tâm trong nỗ lực tiếp cận ban đầu của APT29 để thu thập thông tin tình báo chính trị nước ngoài", công ty cho biết.
Diễn biến này diễn ra khi các công tố viên Đức đã buộc tội một sĩ quan quân đội, tên là Thomas H, với tội danh gián điệp sau khi anh ta bị cáo buộc làm gián điệp thay mặt cho các cơ quan tình báo Nga và chuyển thông tin nhạy cảm không xác định. Anh ta bị bắt vào tháng 8/2023.