WINELOADER バックドア

WINELOADER バックドアを利用したサイバー攻撃は、ロシア対外情報局 (SVR) と関係のあるハッカー グループによって仕掛けられたものと考えられています。 Midnight Blizzard (APT29、BlueBravo、Cozy Bear とも呼ばれる) として知られるこのグループは、SolarWinds や Microsoft などの侵害への関与で悪名を高めました。このバックドアは、ワインの試飲を目的としたフィッシングルアーを通じた外交機関を標的とした攻撃にこれまでに使用されてきました。

研究者らは、Midnight Blizzard がこのマルウェアを利用して 2024 年 2 月下旬にドイツの政党をターゲットにし、キリスト教民主同盟 (CDU) のロゴで飾られたフィッシングメールを使用したことを示唆する証拠を発見しました。これは、 APT29が特に政党をターゲットにしていることが観察された初めての例であり、彼らの活動の焦点が従来の外交任務からシフトする可能性を示唆している。

WINELOADER バックドアは多段階の攻撃チェーンを介して被害者に感染します

2024 年 2 月、研究者らは、2023 年 7 月に開始されたと考えられる進行中のサイバースパイ活動の一環として WINELOADER の存在を明らかにしました。この活動は SPIKEDWINE として知られるクラスターに起因すると考えられています。

この攻撃戦略には、ディナー レセプションへの招待を約束して受信者を誘惑するように設計されたドイツ語のコンテンツを含むフィッシングメールが含まれます。これらの電子メールは、受信者を騙して不正なリンクをクリックさせ、ROOTSAW ( EnvyScoutとしても知られる) という名前の不正な HTML アプリケーション (HTA) ファイルをダウンロードさせることを目的としています。 ROOTSAW は最初のドロッパーとして機能し、リモート サーバーからの WINELOADER の配信を容易にします。

フィッシングメール内のドイツ語の誘惑文書は、攻撃者が制御する侵害された Web サイト上にホストされている悪意のある ZIP ファイルに被害者を誘導します。この ZIP ファイルには ROOTSAW ドロッパーが含まれています。実行されると、ROOTSAW はキリスト教民主同盟 (CDU) をテーマにした第 2 段階の誘惑文書を配信し、その後 WINELOADER ペイロードを展開します。

WINELOADER は、正規の sqldumper.exe を介した DLL サイドローディングを利用し、脅威アクターが制御するサーバーとの通信を確立する機能を備えており、侵害されたホスト上で追加モジュールの取得と実行を可能にします。

分析の結果、WINELOADER と、BURNTBATTER、MUSKYBEAT、BEATDROP などの APT29 に関連する他のマルウェア ファミリとの類似点が明らかになり、開発者や開発手法が共有されていることを示唆しています。さらに、WINELOADERは、2024年1月下旬にチェコ共和国、ドイツ、インド、イタリア、ラトビア、ペルーを含むさまざまな国の外交機関を標的とした作戦で確認されました。

APT29は新たなターゲットを含めて範囲を拡大している可能性がある

ROOTSAW は依然として、外国の政治情報の収集を目的とした APT29 の初期潜入戦略において重要な要素となっています。ドイツの政党を標的とするこの第 1 段階のマルウェアの利用は、この APT29 サブクラスターに関連する典型的な外交標的からの顕著な逸脱を示しています。この変化は間違いなく、モスクワの地政学的目的を強化する可能性のある政党や市民社会の他の側面から情報を入手することに対するSVRの強い関心を反映している。

この動きはドイツでとられた法的措置と一致しており、検察当局はトーマス・Hという名の軍人をスパイ容疑で告訴している。彼は不特定の機密情報の送信を含むロシア諜報機関のために行われたとされるスパイ活動で告発されている。トーマス・Hは2023年8月に逮捕された。