WINELOADER Hintertür

Man geht davon aus, dass Cyberangriffe mithilfe der WINELOADER-Hintertür von einer Hackergruppe mit Verbindungen zum russischen Auslandsgeheimdienst (SVR) ins Leben gerufen wurden. Diese Gruppe, bekannt als Midnight Blizzard (auch bekannt als APT29, BlueBravo oder Cozy Bear), erlangte Bekanntheit durch ihre Beteiligung an Verstößen wie SolarWinds und Microsoft. Die Hintertür wurde bereits zuvor bei Angriffen auf diplomatische Einheiten mit Weinverkostungs-Phishing-Ködern eingesetzt.

Forscher haben Beweise dafür gefunden, dass Midnight Blizzard diese Malware Ende Februar 2024 nutzte, um deutsche politische Parteien anzugreifen, und zwar mit Phishing-E-Mails, die mit dem Logo der Christlich Demokratischen Union (CDU) verziert waren. Dies ist das erste Mal, dass beobachtet wurde, dass APT29 gezielt politische Parteien ins Visier nimmt, was auf eine mögliche Verlagerung ihres operativen Schwerpunkts weg von traditionellen diplomatischen Missionen hindeutet.

Die WINELOADER-Backdoor infiziert Opfer über eine mehrstufige Angriffskette

Im Februar 2024 gaben Forscher die Existenz von WINELOADER als Teil einer laufenden Cyberspionagekampagne bekannt, die vermutlich im Juli 2023 begonnen hat. Diese Aktivität wurde einem Cluster namens SPIKEDWINE zugeschrieben.

Bei der Angriffsstrategie handelt es sich um Phishing-E-Mails mit deutschsprachigen Inhalten, die den Empfänger mit dem Versprechen einer Einladung zum Abendessen anlocken sollen. Ziel dieser E-Mails ist es, Empfänger dazu zu verleiten, auf einen irreführenden Link zu klicken, was zum Download einer betrügerischen HTML-Anwendungsdatei (HTA) namens ROOTSAW (auch bekannt als EnvyScout ) führt. ROOTSAW dient als erster Dropper und erleichtert die Bereitstellung von WINELOADER von einem Remote-Server.

Das deutschsprachige Lockdokument in den Phishing-E-Mails leitet die Opfer zu einer bösartigen ZIP-Datei weiter, die auf einer von den Tätern kontrollierten kompromittierten Website gehostet wird. Diese ZIP-Datei enthält den ROOTSAW-Dropper. Nach der Ausführung liefert ROOTSAW ein Köderdokument der zweiten Stufe rund um die Christlich-Demokratische Union (CDU) und setzt anschließend die WINELOADER-Nutzlast ein.

WINELOADER nutzt DLL-Sideloading über die legitime Datei sqldumper.exe und verfügt über die Fähigkeit, eine Kommunikation mit einem von den Bedrohungsakteuren kontrollierten Server herzustellen, wodurch das Abrufen und Ausführen zusätzlicher Module auf kompromittierten Hosts ermöglicht wird.

Die Analyse zeigt Ähnlichkeiten zwischen WINELOADER und anderen mit APT29 assoziierten Malware-Familien wie BURNTBATTER, MUSKYBEAT und BEATDROP, was auf einen gemeinsamen Entwickler oder eine gemeinsame Entwicklungsmethodik hindeutet. Darüber hinaus wurde WINELOADER Ende Januar 2024 bei einer Operation identifiziert, die auf diplomatische Einheiten in verschiedenen Ländern abzielte, darunter in der Tschechischen Republik, Deutschland, Indien, Italien, Lettland und Peru.

APT29 erweitert möglicherweise seinen Anwendungsbereich um neue Ziele

ROOTSAW bleibt eine entscheidende Komponente in den anfänglichen Infiltrationsstrategien von APT29, die darauf abzielen, ausländische politische Informationen zu sammeln. Der Einsatz dieser Malware der ersten Stufe, um auf deutsche politische Parteien abzuzielen, stellt eine bemerkenswerte Abkehr von den typischen diplomatischen Zielen dar, die mit diesem APT29-Subcluster verbunden sind. Diese Verschiebung spiegelt zweifellos das große Interesse des SVR an der Beschaffung von Informationen von politischen Parteien und anderen Bereichen der Zivilgesellschaft wider, die Moskaus geopolitischen Zielen helfen könnten.

Diese Entwicklung fällt mit rechtlichen Schritten in Deutschland zusammen, wo Staatsanwälte Spionageklage gegen einen Militäroffizier namens Thomas H. erhoben haben. Ihm werden Spionageaktivitäten vorgeworfen, die angeblich im Auftrag russischer Geheimdienste durchgeführt wurden und bei denen es sich um die Übermittlung nicht näher bezeichneter sensibler Informationen handelte. Thomas H. wurde im August 2023 festgenommen.