Şarap tadımı kimlik avı tuzaklarıyla diplomatik kurumları hedef alan son siber saldırılarda kullanılan WINELOADER arka kapısının, SolarWinds ve Microsoft'un ihlalinden sorumlu olan Rusya Dış İstihbarat Servisi (SVR) ile bağlantısı olan bir bilgisayar korsanlığı grubunun eseri olduğu düşünülüyor.
Bulgular, Midnight Blizzard'ın (diğer adıyla APT29, BlueBravo veya Cozy Bear) 26 Şubat 2024 civarında Hıristiyan Demokrat Birliği'nin (CDU) logosunu taşıyan kimlik avı e-postalarıyla Alman siyasi partilerini hedeflemek için kötü amaçlı yazılım kullandığını söyleyen Mandiant'tan geliyor.
Araştırmacılar Luke Jenkins ve Dan Black, “Bu APT29 kümesinin siyasi partileri hedef aldığını ilk kez görüyoruz, bu da diplomatik misyonların tipik hedeflenmesinin ötesinde olası bir operasyonel odak alanının ortaya çıktığını gösteriyor” dedi.
WINELOADER, ilk olarak Zscaler ThreatLabz tarafından, en az Temmuz 2023'ten bu yana devam ettiğine inanılan bir siber casusluk kampanyasının parçası olarak geçen ay ifşa edildi. Faaliyet, SPIKEDWINE adlı bir kümeye atfedildi.
Saldırı zincirleri, alıcıları sahte bir bağlantıya tıklamaları ve ROOTSAW (diğer adıyla ROOTSAW (aka EnvyScout), uzak bir sunucudan WINELOADER'ı dağıtmak için bir kanal görevi gören.
Araştırmacılar, “Almanca dilindeki yem belgesi, kurbanları, aktörlerin kontrolü altındaki bir web sitesinde barındırılan ROOTSAW damlatıcısını içeren kötü amaçlı bir ZIP dosyasına yönlendiren bir kimlik avı bağlantısı içeriyor” dedi. “ROOTSAW, ikinci aşama CDU temalı yem belgesini ve bir sonraki aşama WINELOADER yükünü teslim etti.”
Meşru sqldumper.exe kullanılarak DLL yandan yükleme adı verilen bir teknikle çağrılan WINELOADER, aktör kontrollü bir sunucuyla iletişim kurma ve güvenliği ihlal edilmiş ana bilgisayarlarda yürütülmek üzere ek modüller getirme yetenekleriyle donatılmıştır.
BURNTBATTER, MUSKYBEAT ve BEATDROP gibi bilinen APT29 kötü amaçlı yazılım aileleriyle benzerlikler paylaştığı söyleniyor ve bu da ortak bir geliştiricinin çalışmasını akla getiriyor.
Google Cloud yan kuruluşu WINELOADER, Ocak 2024'ün sonlarında Çek Cumhuriyeti, Almanya, Hindistan, İtalya, Letonya ve Peru'daki diplomatik kuruluşları hedef alan bir operasyonda da kullanıldı.
Şirket, “ROOTSAW, APT29'un yabancı siyasi istihbarat toplamaya yönelik ilk erişim çabalarının merkezi bileşeni olmaya devam ediyor” dedi.
“İlk aşama kötü amaçlı yazılımın Alman siyasi partilerini hedef almak için genişletilmiş kullanımı, bu APT29 alt kümesinin tipik diplomatik odağından belirgin bir sapmadır ve neredeyse kesinlikle SVR'nin, Moskova'nın ilerlemesini ilerletebilecek siyasi partilerden ve sivil toplumun diğer yönlerinden bilgi toplamaya olan ilgisini yansıtıyor. jeopolitik çıkarlar.”
Gelişme, Alman savcıların Thomas H adlı bir askeri subayı, Rus istihbarat servisleri adına casusluk yaparken ve belirtilmemiş hassas bilgileri aktarırken yakalandığı iddiasının ardından casusluk suçlarıyla suçlamasının ardından geldi. Ağustos 2023'te tutuklandı.
Federal Savcılık, “Mayıs 2023'ten itibaren kendi inisiyatifiyle Rusya'nın Bonn Başkonsolosluğuna ve Berlin'deki Rusya Büyükelçiliğine birkaç kez başvurdu ve işbirliği teklifinde bulundu.” dedi. “Bir defasında mesleki faaliyetleri sırasında elde ettiği bilgileri Rus istihbarat servisine iletti.”