俄罗斯APT29 利用 WINELOADER 后门攻击德国政党

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

与俄罗斯有关的威胁行为者在最近针对德国政党的攻击中使用了 WINELOADER 后门。

2 月底，Mandiant 研究人员发现与俄罗斯有关的组织APT29使用WINELOADER后门的新变种，以基督教民主联盟 (CDU) 为主题的诱饵攻击德国政党。  

这是 Mandiant 首次观察到 APT29 子集群针对政党，表明其兴趣已不再仅限于典型的外交使团攻击。

目标实体收到了伪装成 3 月 1 日晚宴邀请函的钓鱼电子邮件，邀请函上印有德国政党基督教民主联盟 (CDU) 的标志。钓鱼电子邮件以德语编写，其中包含一个链接，该链接指向托管在受感染网站上的恶意 ZIP 文件。
该 ZIP 文件包含一个 ROOTSAW 植入程序，用于部署同样以 CDU 为主题的第二阶段诱饵文档，以及从“waterforvoiceless[.]org/util.php”检索到的 WINELOADER 有效载荷。

WINELOADER 后门支持多种特性和功能，与 APT29 武器库中的其他恶意软件（如 BURNTBATTER、MUSKYBEAT 和BEATDROP）重叠，这表明它们很可能是由同一批专业人员开发的。

WINELOADER 使用 DLL 侧加载到合法的 Windows 可执行文件中来启动，然后它开始使用 RC4 解密主植入逻辑本身。

Zscaler ThreatLabz 的研究人员于 2023 年 2 月首次检测到WINELOADER，该安全公司将该活动归咎于名为SPIKEDWINE的 APT 。

Zscaler 警告称，SPIKEDWINE 是一个之前未知的威胁行为者，据观察，该组织针对的是欧洲官员。网络间谍使用伪装成印度大使邀请函的诱饵 PDF 文档，邀请外交官参加 2024 年 2 月的品酒活动。

此次活动的特点是规模非常小，而且威胁行为者采用了先进的战术、技术和程序 (TTP)。

报告最后总结道：“基于 SVR 收集政治情报的职责以及 APT29 集群的历史攻击模式，我们判断此次活动对欧洲和其他西方政党构成了广泛威胁。”

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯APT29 利用 WINELOADER 后门攻击德国政党