O backdoor WINELOADER usado em recentes ataques cibernéticos direcionados a entidades diplomáticas com iscas de phishing para degustação de vinhos foi atribuído como obra de um grupo de hackers com ligações ao Serviço de Inteligência Estrangeira (SVR) da Rússia, responsável por violar a SolarWinds e a Microsoft.
As descobertas vêm da Mandiant, que disse que Midnight Blizzard (também conhecido como APT29, BlueBravo ou Cozy Bear) usou o malware para atingir partidos políticos alemães com e-mails de phishing com um logotipo da União Democrata Cristã (CDU) por volta de 26 de fevereiro de 2024.
“Esta é a primeira vez que vimos este cluster APT29 ter como alvo partidos políticos, indicando uma possível área de foco operacional emergente além do alvo típico de missões diplomáticas”, disseram os pesquisadores Luke Jenkins e Dan Black.
WINELOADER foi divulgado pela primeira vez pelo Zscaler ThreatLabz no mês passado como parte de uma campanha de espionagem cibernética que se acredita estar em andamento desde pelo menos julho de 2023. Ele atribuiu a atividade a um cluster denominado SPIKEDWINE.
As cadeias de ataques aproveitam e-mails de phishing com conteúdo de isca em alemão que pretende ser um convite para um jantar para induzir os destinatários a clicar em um hyperlink falso e baixar um arquivo HTML Utility (HTA) nocivo, um conta-gotas de primeiro estágio chamado ROOTSAW (também conhecido como EnvyScout) que atua como um canal para entregar o WINELOADER de um servidor remoto.
“O documento de isca em alemão contém um hyperlink de phishing que direciona as vítimas para um arquivo ZIP malicioso contendo um conta-gotas ROOTSAW hospedado em um website comprometido controlado por um ator”, disseram os pesquisadores. “ROOTSAW entregou um documento de isca com tema CDU de segundo estágio e uma carga útil WINELOADER de próximo estágio.”
WINELOADER, invocado por meio de uma técnica chamada carregamento lateral de DLL usando o legítimo sqldumper.exe, vem equipado com habilidades para entrar em contato com um servidor controlado por um ator e buscar módulos adicionais para execução nos hosts comprometidos.
Diz-se que ele compartilha semelhanças com famílias conhecidas de malware APT29, como BURNTBATTER, MUSKYBEAT e BEATDROP, sugerindo o trabalho de um desenvolvedor comum.
WINELOADER, de acordo com a subsidiária do Google Cloud, também foi empregado em uma operação visando entidades diplomáticas na República Tcheca, Alemanha, Índia, Itália, Letônia e Peru no remaining de janeiro de 2024.
“O ROOTSAW continua a ser o componente central dos esforços iniciais de acesso do APT29 para coletar inteligência política estrangeira”, disse a empresa.
“O uso expandido do malware de primeiro estágio para atingir os partidos políticos alemães é um notável afastamento do foco diplomático típico deste subgrupo APT29 e quase certamente reflete o interesse do SVR em coletar informações de partidos políticos e outros aspectos da sociedade civil que poderiam promover o avanço de Moscou. interesses geopolíticos”.
O desenvolvimento surge no momento em que os procuradores alemães acusaram um oficial militar, chamado Thomas H, de crimes de espionagem, depois de ter sido alegadamente apanhado a espiar em nome dos serviços de inteligência russos e a transmitir informações sensíveis não especificadas. Ele foi preso em agosto de 2023.
“A partir de maio de 2023, ele abordou várias vezes o Consulado Geral da Rússia em Bonn e a Embaixada da Rússia em Berlim por sua própria iniciativa e se ofereceu para cooperar”, disse o Gabinete do Procurador Federal. “Certa vez, ele transmitiu informações que obteve no exercício de suas atividades profissionais para encaminhá-las a um serviço de inteligência russo”.
