俄罗斯黑客用WineLoader恶意软件攻击德国政党

研究人员警告说，一个与俄罗斯对外情报局(SVR)有关的臭名昭著的黑客组织首次将目标对准了德国的政党，将他们的注意力从典型的针对外交使团的目标转移开来。

网络钓鱼攻击旨在部署一个名为WineLoader的后门恶意软件，该恶意软件允许威胁行为者远程访问受感染的设备和网络。

APT29(也被称为Midnight Blizzard, NOBELIUM, Cozy Bear)是一个俄罗斯间谍黑客组织，据信是俄罗斯对外情报局(SVR)的一部分。

该黑客组织与许多网络攻击有关，包括2020年12月臭名昭著的SolarWinds供应链攻击。

这些年来，威胁行为者一直很活跃，通常以政府、大使馆、高级官员和各种实体为目标，使用一系列网络钓鱼策略或供应链妥协。

APT29最近的重点是云服务，入侵微软系统，从Exchange账户窃取数据，并破坏惠普企业使用的MS Office 365电子邮件环境。

冒充政党

Mandiant的研究人员表示，自2024年2月底以来，APT29一直在对德国政党进行网络钓鱼活动。这标志着该黑客组织的行动重点发生了重大转变，因为这是该黑客组织首次以政党为目标。

黑客们现在使用以基督教民主联盟(CDU)为主题的网络钓鱼邮件，该联盟是德国的一个主要政党，目前是联邦议会(Bundestag)的第二大政党。

Mandiant看到的网络钓鱼邮件假装是基民盟的晚宴邀请，嵌入了一个链接到一个外部页面，该页面会丢失一个包含Rootsaw恶意软件drop的ZIP存档。

执行时，Rootsaw恶意软件下载并在受害者的计算机上执行名为“WineLoader”的后门。

WineLoader恶意软件早在今年2月就被Zscaler发现，它被部署在网络钓鱼攻击中，假装邀请外交官参加品酒活动。

WineLoader后门与过去APT29攻击中部署的其他恶意软件变体有几个相似之处，例如'burnbatter'， 'myskybeat'和'beatdrop '，表明一个共同的开发人员。

然而，恶意软件是模块化的，比以前的变体更定制，不使用现成的加载程序，并建立一个加密的通信通道，用于与命令和控制(C2)服务器进行数据交换。

Mandiant的分析师们在2024年1月下旬首次发现了WineLoader，他们的目标是捷克共和国、德国、印度、意大利、拉脱维亚和秘鲁的外交官。因此，该特定变体似乎是APT29最近的恶意软件选择。

为了逃避检测，WineLoader使用RC4解密，并通过DLL侧加载直接加载到内存中，滥用合法的Windows可执行文件(sqldump .exe)。

Wineloader将受害者的用户名、设备名、进程名和其他信息发送到C2，以帮助分析系统。

C2可以命令模块的执行，这些模块可以动态加载以执行特定任务，例如建立持久性。

尽管Mandiant没有深入研究任何模块，但据推测，WineLoader的模块化特性使其能够执行与APT29任务一致的广泛间谍活动。

APT29继续展示其先进的技术熟练程度，并不断努力开发渗透和监视目标实体的工具。

向政党的转变表明，中国有意影响或监督政治进程，这可能反映出更广泛的地缘政治目标。

原文始发于微信公众号（HackSee）：俄罗斯黑客用WineLoader恶意软件攻击德国政党