WINELOADER: из погреба хакеров прямиком на компьютеры иностранных депутатов

Эксперты ИБ-компании Mandiant связали недавние кибератаки с использованием бэкдора WINELOADER с деятельностью хакерской группировки APT29.

По данным исследователей, приблизительно 26 февраля этого года группировка провела фишинговую кампанию против немецких политических партий, разослав электронные письма с логотипом Христианско-демократического союза (CDU).

«Это первый случай, когда мы наблюдаем, чтобы APT29 атаковала политические партии, что может указывать на новую область интересов помимо традиционных целей группировки», — отмечают Люк Дженкинс и Дэн Блэк из Mandiant.

Как было отмечено выше, в этой зловредной кампании использовался бэкдор WINELOADER, впервые обнаруженный Zscaler в феврале этого года. Атаки начинались с фишинговых писем на немецком языке, выдаваемых за приглашения на званый ужин. Запуск вложения к письму в формате «.hta» вёл к загрузке и активации дроппера первой стадии под названием ROOTSAW (он же EnvyScout), который действует как канал доставки WINELOADER с удалённого сервера.

Исследователи отмечают сходство WINELOADER с другими вредоносными программами, связанными с APT29, что указывает на общего разработчика.

Несмотря на то, что вредонос был обнаружен и раскрыт только в прошлом месяце, по данным исследователей, он уже неоднократно применялся для атак на дипломатические миссии в Чехии, Германии, Индии, Италии, Латвии и Перу. Кампания кибершпионажа, распространяющая WINELOADER, как сообщается, активна минимум с июля прошлого года.