WINELOADER バックドアがドイツの標的に対して導入される
ロシア関連の攻撃者は、ドイツの政治組織を対象とした最近のサイバー攻撃で WINELOADER バックドアを導入しました。 2024 年 2 月下旬、マンディアントの研究者らは、ロシア関連グループ APT29 が WINELOADER バックドアの改変版を利用し、キリスト教民主同盟 (CDU) をテーマにしたおとりを使用してドイツの政党をターゲットにしていることを特定しました。
これは、APT29サブクラスターが政治団体にその取り組みを向けていることをマンディアントが観察した最初の例であり、外交使節への通常の焦点を超えた関心の高まりを示している。標的となったグループは、CDU のロゴが入った 3 月 1 日のディナー レセプションへの招待状を装ったドイツ語で書かれたフィッシングメールを受け取りました。これらの電子メールには、侵害された Web サイトでホストされる悪意のある ZIP ファイルへのリンクが含まれていました。
ZIP ファイル内には、サイト「waterforvoiceless[.]org/util.php」から取得した WINELOADER ペイロードとともに、同じく CDU をテーマにした第 2 段階のルアー ドキュメントを展開するために利用される ROOTSAW ドロッパーが含まれていました。 WINELOADER バックドアは、BURNTBATTER、MUSKYBEAT、BEATDROP など、APT29 の武器庫にある他のマルウェアと重複する複数の機能を備えており、共通の起源がある可能性が高いことを示しています。
WINELOADER の攻撃ベクトルと侵入方法
WINELOADER は、正規の Windows 実行可能ファイルへの DLL 側のロードを通じて開始され、続いて RC4 を使用してメイン インプラント ロジックを復号化します。 Zscaler ThreatLabz は、2023 年 2 月に最初に WINELOADER を特定し、このキャンペーンは SPIKEDWINE として知られる APT によるものであると考えました。
ズスケーラー氏は、これまで正体不明の脅威アクターであるSPIKEDWINEが欧州当局者を標的にしていることが観察されたと警告した。サイバースパイは、インド大使からの招待状を装ったおとりの PDF 文書を利用し、2024 年 2 月のワイン試飲イベントに外交官を招待しました。
このキャンペーンは、規模が小さいことと、脅威アクターによる高度な戦術、技術、および手順 (TTP) の利用が特徴です。報告書は、政治情報を収集するというSVRの使命と、このAPT29クラスターの歴史的標的パターンに基づいて、この活動は政治的スペクトル全体にわたってヨーロッパおよび他の西側の政党にとって重大な脅威をもたらすと結論付けています。