Russische Hacker zielen mit WineLoader-Malware auf deutsche politische Parteien ab!
Forscher warnen davor, dass eine berüchtigte Hackergruppe, die mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung steht, zum ersten Mal politische Parteien in Deutschland ins Visier nimmt und sich damit von der typischen Angriffsfläche für diplomatische Vertretungen entfernt.
Die Phishing-Angriffe zielen darauf ab, eine Backdoor-Malware namens WineLoader einzusetzen, die es Bedrohungsakteuren ermöglicht, Fernzugriff auf kompromittierte Geräte und Netzwerke zu erhalten.
APT29 (auch bekannt als Midnight Blizzard, NOBELIUM, Cozy Bear) ist eine russische Spionage-Hacker-Gruppe, von der angenommen wird, dass sie Teil des russischen Auslandsgeheimdienstes (SVR) ist.
Die Hackergruppe wurde mit vielen Cyberangriffen in Verbindung gebracht, darunter dem berüchtigten Angriff auf die Lieferkette von SolarWinds im Dezember 2020.
Die Bedrohungsakteure sind in all diesen Jahren aktiv geblieben und haben in der Regel Regierungen , Botschaften , hochrangige Beamte und verschiedene Organisationen ins Visier genommen, indem sie eine Reihe von Phishing-Taktiken oder Lieferkettenkompromittierungen eingesetzt haben.
Der Fokus von APT29 lag in letzter Zeit auf Cloud-Diensten , dem Eindringen in Microsoft-Systeme und dem Diebstahl von Daten aus Exchange-Konten sowie der Kompromittierung der von Hewlett Packard Enterprise verwendeten E-Mail-Umgebung MS Office 365 .
Sich als politische Parteien ausgeben
Mandiant-Forscher sagen, dass APT29 seit Ende Februar 2024 eine Phishing-Kampagne gegen deutsche politische Parteien durchführt. Dies stellt eine bedeutende Verschiebung im operativen Fokus der Hackergruppe dar, da es das erste Mal ist, dass die Hackergruppe politische Parteien ins Visier genommen hat.
Die Hacker verwenden nun Phishing-E-Mails mit einem Lockmittel rund um die Christlich Demokratische Union (CDU), eine große politische Partei in Deutschland und derzeit die zweitgrößte im Bundestag.
Die von Mandiant gesehenen Phishing-E-Mails geben vor, Einladungen zum Abendessen der CDU zu sein, die einen Link zu einer externen Seite einbetten, die ein ZIP-Archiv mit dem Malware-Dropper „Rootsaw“ ablegt.
Bei der Ausführung lädt die Rootsaw-Malware eine Hintertür namens „WineLoader“ herunter und führt sie auf dem Computer des Opfers aus.
Die WineLoader-Malware wurde bereits im Februar von Zscaler entdeckt und bei Phishing-Angriffen eingesetzt, bei denen es sich um Einladungen an Diplomaten zu einer Weinprobe handelte.
Die WineLoader-Backdoor weist mehrere Ähnlichkeiten mit anderen Malware-Varianten auf, die bei früheren APT29-Angriffen eingesetzt wurden, wie etwa „burnbatter“, „myskybeat“ und „beatdrop“, was auf einen gemeinsamen Entwickler schließen lässt.
Allerdings ist die Malware modular und individueller als frühere Varianten, verwendet keine Standard-Loader und baut einen verschlüsselten Kommunikationskanal für den Datenaustausch mit dem Command and Control (C2)-Server auf.
Die Analysten von Mandiant sahen WineLoader erstmals Ende Januar 2024 bei einer Operation gegen Diplomaten aus der Tschechischen Republik, Deutschland, Indien, Italien, Lettland und Peru. Somit scheint diese spezielle Variante in letzter Zeit die Malware der Wahl für APT29 gewesen zu sein.
Um einer Erkennung zu entgehen, wird WineLoader mit RC4 entschlüsselt und per DLL-Sideloading direkt in den Speicher geladen, wobei eine legitime ausführbare Windows-Datei (sqldumper.exe) missbraucht wird.
Wineloader sendet den Benutzernamen, den Gerätenamen, den Prozessnamen und andere Informationen des Opfers an den C2, um bei der Profilierung des Systems zu helfen.
Der C2 kann die Ausführung von Modulen anordnen, die dynamisch geladen werden können, um bestimmte Aufgaben auszuführen, beispielsweise die Herstellung von Persistenz.
Obwohl Mandiant sich nicht mit irgendwelchen Modulen befasst, wird davon ausgegangen, dass WineLoader aufgrund seiner Modularität eine breite Palette von Spionageaktivitäten im Einklang mit der Mission von APT29 ausführen kann.
APT29 stellt weiterhin seine fortschrittliche technische Kompetenz und seine kontinuierlichen Bemühungen zur Entwicklung von Tools zum Infiltrieren und Ausspionieren gezielter Entitäten unter Beweis.
Die Verlagerung hin zu politischen Parteien deutet auf die Absicht hin, politische Prozesse zu beeinflussen oder zu überwachen, was möglicherweise umfassendere geopolitische Ziele widerspiegelt.