Porte dérobée WINELOADER

Les cyberattaques déployant la porte dérobée WINELOADER seraient mises en place par un groupe de hackers lié au Service de renseignement extérieur russe (SVR). Ce groupe, connu sous le nom de Midnight Blizzard (également appelé APT29, BlueBravo ou Cozy Bear), a acquis une notoriété grâce à son implication dans des violations telles que SolarWinds et Microsoft. La porte dérobée a déjà été utilisée dans des attaques visant des entités diplomatiques par le biais de leurres de phishing dégustant du vin.

Les chercheurs ont découvert des preuves suggérant que Midnight Blizzard a utilisé ce malware pour cibler des partis politiques allemands fin février 2024, en utilisant des e-mails de phishing ornés du logo de l'Union chrétienne-démocrate (CDU). Il s’agit du premier cas où l’APT29 cible spécifiquement des partis politiques, ce qui suggère un changement potentiel de leur orientation opérationnelle par rapport aux missions diplomatiques traditionnelles.

La porte dérobée WINELOADER infecte les victimes via une chaîne d'attaque à plusieurs étapes

En février 2024, des chercheurs ont révélé l'existence de WINELOADER dans le cadre d'une campagne de cyberespionnage en cours qui aurait débuté en juillet 2023. Cette activité a été attribuée à un cluster connu sous le nom de SPIKEDWINE.

La stratégie d'attaque implique des e-mails de phishing contenant du contenu en langue allemande conçus pour attirer les destinataires en leur promettant une invitation à un dîner. Ces e-mails visent à inciter les destinataires à cliquer sur un lien trompeur, conduisant au téléchargement d'un fichier d'application HTML (HTA) malveillant nommé ROOTSAW (également connu sous le nom d' EnvyScout ). ROOTSAW sert de compte-gouttes initial, facilitant la livraison de WINELOADER à partir d'un serveur distant.

Le document leurre en allemand contenu dans les e-mails de phishing dirige les victimes vers un fichier ZIP malveillant hébergé sur un site Web compromis contrôlé par les acteurs. Ce fichier ZIP contient le compte-gouttes ROOTSAW. Une fois exécuté, ROOTSAW fournit un document de leurre de deuxième étape sur le thème de l'Union chrétienne-démocrate (CDU) et déploie ensuite la charge utile WINELOADER.

WINELOADER, utilisant le chargement latéral de DLL via sqldumper.exe légitime, possède des capacités pour établir une communication avec un serveur contrôlé par les acteurs de la menace, permettant la récupération et l'exécution de modules supplémentaires sur des hôtes compromis.

L'analyse révèle des similitudes entre WINELOADER et d'autres familles de logiciels malveillants associées à APT29, telles que BURNTBATTER, MUSKYBEAT et BEATDROP, faisant allusion à un développeur ou à une méthodologie de développement partagée. En outre, WINELOADER a été identifié lors d'une opération ciblant des entités diplomatiques dans divers pays, notamment la République tchèque, l'Allemagne, l'Inde, l'Italie, la Lettonie et le Pérou, fin janvier 2024.

APT29 pourrait étendre sa portée pour inclure de nouvelles cibles

ROOTSAW reste un élément essentiel des stratégies d'infiltration initiales d'APT29 visant à recueillir des renseignements politiques étrangers. L’utilisation de ce malware de première étape pour cibler les partis politiques allemands marque une différence notable par rapport aux cibles diplomatiques typiques associées à ce sous-groupe APT29. Ce changement reflète sans aucun doute le vif intérêt du SVR pour l’acquisition d’informations auprès des partis politiques et d’autres facettes de la société civile susceptibles de soutenir les objectifs géopolitiques de Moscou.

Cette évolution coïncide avec une action en justice intentée en Allemagne, où les procureurs ont porté plainte pour espionnage contre un officier militaire nommé Thomas H. Il est accusé d'activités d'espionnage qui auraient été menées pour le compte des services de renseignement russes et impliquant la transmission d'informations sensibles non précisées. Thomas H. a été appréhendé en août 2023.