Similitudes con puertas traseras APT29 más antiguas
Si bien Zscaler no vinculó el ataque de enero con ningún grupo de APT, los investigadores creyeron en ese momento que era obra de un actor de amenaza de estado-nación que buscaba explotar las relaciones diplomáticas, lo cual es típico de los ataques de APT29. Yendo más lejos, Mandiant no ha establecido similitudes claras en el diseño y el código con dos puertas traseras más antiguas identificadas como BURNTBATTER y MUSKYBEAT que solo están asociadas con APT29.
«Sin embargo, la familia de códigos en sí es considerablemente más personalizada que las variantes anteriores, ya que ya no utiliza cargadores disponibles públicamente como DONUT o DAVESHELL e implementa un mecanismo C2 único», dijeron los investigadores en su análisis. “Además, WINELOADER contiene las siguientes técnicas compartidas con otras familias de códigos utilizadas por APT29: el algoritmo RC4 utilizado para descifrar la carga útil de la siguiente etapa; verificación del nombre del proceso/DLL para validar el contexto de la carga útil (en uso desde las primeras variantes de BEATDROP) y la omisión del enlace del modo de usuario Ntdll (en uso desde las primeras variantes de BEATDROP)”.
WINELOADER se ejecuta utilizando técnicas de descarga de DLL en un ejecutable legítimo de Windows, lo que pretende dificultar la detección. Luego procede a descifrar una parte del código utilizando el cifrado RC4. La puerta trasera es modular y este código representa el módulo principal que también incluye datos de configuración y la parte que se comunica con el servidor de comando y control (C2).
El malware se conecta al servidor mediante HTTP con un agente de usuario personalizado y paquetes de registro dentro de las solicitudes. Los atacantes pueden dar instrucciones para cargar módulos adicionales o establecer persistencia en el sistema si consideran que el sistema es lo suficientemente importante.
El informe Mandiant incluye TTP de MITRE ATTACK Framework, así como reglas de detección personalizadas basadas en indicadores de compromiso.