Porte dérobée WINELOADER déployée contre des cibles allemandes
Des acteurs malveillants affiliés à la Russie ont déployé la porte dérobée WINELOADER lors de récentes cyberattaques dirigées contre des organisations politiques allemandes. Fin février 2024, des chercheurs de Mandiant ont identifié le groupe associé à la Russie APT29 utilisant une version modifiée de la porte dérobée WINELOADER pour cibler les partis politiques allemands, en utilisant un leurre sur le thème de l'Union chrétienne-démocrate (CDU).
C’est la première fois que Mandiant observe le sous-cluster APT29 diriger ses efforts vers des entités politiques, indiquant un intérêt croissant au-delà de leur concentration habituelle sur les missions diplomatiques. Les groupes ciblés ont reçu des courriels de phishing rédigés en allemand, prétendant être des invitations à un dîner de réception le 1er mars, arborant le logo de la CDU. Ces e-mails contenaient un lien menant vers un fichier ZIP malveillant hébergé sur un site Web compromis.
Dans le fichier ZIP se trouvait un compte-gouttes ROOTSAW, utilisé pour déployer un document de leurre de deuxième étape également thématique autour de la CDU, aux côtés d'une charge utile WINELOADER récupérée du site "waterforvoiceless[.]org/util.php". La porte dérobée WINELOADER possède de multiples caractéristiques et fonctions qui se chevauchent avec d'autres logiciels malveillants de l'arsenal d'APT29, tels que BURNTBATTER, MUSKYBEAT et BEATDROP, ce qui indique une origine probablement commune.
Vecteur d'attaque WINELOADER et méthode d'infiltration
WINELOADER est lancé via le chargement latéral d'une DLL dans un exécutable Windows légitime, suivi du décryptage de la logique principale de l'implant à l'aide de RC4. Zscaler ThreatLabz a initialement identifié WINELOADER en février 2023, attribuant la campagne à une APT connue sous le nom de SPIKEDWINE.
Zscaler a averti que SPIKEDWINE, un acteur menaçant non identifié auparavant, avait été observé en train de cibler des responsables européens. Les cyber-espions ont utilisé un document PDF appât se faisant passer pour une lettre d'invitation de l'ambassadeur de l'Inde, invitant les diplomates à une dégustation de vin en février 2024.
La campagne se caractérise par son faible volume et l’utilisation de tactiques, techniques et procédures (TTP) avancées par les acteurs malveillants. Le rapport conclut que, sur la base du mandat du SVR consistant à recueillir des renseignements politiques et des modèles de ciblage historiques de ce cluster APT29, cette activité constitue une menace importante pour les partis politiques européens et occidentaux de tous bords.