Peretas Rusia Menggunakan Malware ‘WINELOADER’ untuk Menargetkan Partai Politik Jerman
Pintu belakang WINELOADER yang digunakan dalam serangan dunia maya baru-baru ini yang menargetkan entitas diplomatik dengan umpan phishing mencicipi anggur telah dikaitkan sebagai hasil karya kelompok peretas yang memiliki hubungan dengan Badan Intelijen Luar Negeri (SVR) Rusia, yang bertanggung jawab atas pelanggaran SolarWinds dan Microsoft .
Temuan tersebut berasal dari Mandiant, yang mengatakan Midnight Blizzard (alias APT29, BlueBravo, atau Cozy Bear) menggunakan malware tersebut untuk menargetkan partai politik Jerman dengan email phishing berlogo Christian Democrat Union (CDU) sekitar 26 Februari 2024.
“Ini pertama kalinya kami melihat klaster APT29 ini menyasar partai politik, yang mengindikasikan kemungkinan munculnya fokus operasional di luar penargetan misi diplomatik pada umumnya ,” kata peneliti Luke Jenkins dan Dan Black .
WINELOADER pertama kali diungkapkan oleh Zscaler ThreatLabz bulan lalu sebagai bagian dari kampanye spionase dunia maya yang diyakini telah berlangsung setidaknya sejak Juli 2023. Aktivitas tersebut dikaitkan dengan cluster yang dijuluki SPIKEDWINE.
Rantai penyerang memanfaatkan email phishing dengan konten umpan berbahasa Jerman yang dimaksudkan sebagai undangan resepsi makan malam untuk mengelabui penerima agar mengklik tautan palsu dan mengunduh file Aplikasi HTML jahat (HTA), dropper tahap pertama yang disebut ROOTSAW (alias EnvyScout) yang bertindak sebagai saluran untuk mengirimkan WINELOADER dari server jarak jauh.
“Dokumen umpan berbahasa Jerman berisi tautan phishing yang mengarahkan korban ke file ZIP berbahaya yang berisi dropper ROOTSAW yang dihosting di situs web yang disusupi oleh aktor,” kata para peneliti. “ROOTSAW mengirimkan dokumen umpan bertema CDU tahap kedua dan muatan WINELOADER tahap berikutnya.”
WINELOADER, dipanggil melalui teknik yang disebut pemuatan samping DLL menggunakan sqldumper.exe yang sah , dilengkapi dengan kemampuan untuk menghubungi server yang dikendalikan aktor dan mengambil modul tambahan untuk dieksekusi pada host yang disusupi.
Dikatakan memiliki kesamaan dengan keluarga malware APT29 yang dikenal seperti BURNTBATTER, MUSKYBEAT, dan BEATDROP, yang menunjukkan bahwa malware tersebut berasal dari pengembang yang sama.
WINELOADER, menurut anak perusahaan Google Cloud, juga telah digunakan dalam operasi yang menargetkan entitas diplomatik di Republik Ceko, Jerman, India, Italia, Latvia, dan Peru pada akhir Januari 2024.
“ROOTSAW terus menjadi komponen utama dari upaya akses awal APT29 untuk mengumpulkan intelijen politik asing,” kata perusahaan itu.
“Perluasan penggunaan malware tahap pertama untuk menargetkan partai-partai politik di Jerman merupakan sebuah penyimpangan dari fokus diplomasi subkluster APT29 ini, dan hampir pasti mencerminkan minat SVR dalam mengumpulkan informasi dari partai-partai politik dan aspek-aspek lain dari masyarakat sipil yang dapat memajukan kepentingan Moskow. kepentingan geopolitik.”
Perkembangan ini terjadi ketika jaksa penuntut Jerman mendakwa seorang perwira militer, bernama Thomas H, dengan tuduhan melakukan pelanggaran spionase setelah ia diduga tertangkap memata-matai atas nama badan intelijen Rusia dan menyampaikan informasi sensitif yang tidak disebutkan secara spesifik. Dia ditangkap pada Agustus 2023.
“Sejak Mei 2023, dia beberapa kali melakukan pendekatan kepada Konsulat Jenderal Rusia di Bonn dan Kedutaan Besar Rusia di Berlin atas inisiatifnya sendiri dan menawarkan kerja sama,” kata Kantor Kejaksaan Federal. “Pada suatu kesempatan, dia mengirimkan informasi yang dia peroleh selama menjalankan aktivitas profesionalnya untuk diteruskan ke badan intelijen Rusia.”