La puerta trasera WINELOADER utilizada en recientes ataques cibernéticos dirigidos a entidades diplomáticas con señuelos de phishing con sabor a vino se ha atribuido a la obra de un grupo de hackers con vínculos con el Servicio de Inteligencia Exterior de Rusia (SVR), que fue responsable de violando SolarWinds y Microsoft.
Los hallazgos provienen de Mandiant, que dijo Ventisca de medianoche (también conocido como APT29, BlueBravo o Cozy Bear) utilizó el malware para atacar a los partidos políticos alemanes con correos electrónicos de phishing con el logotipo de la Unión Demócrata Cristiana (CDU) alrededor del 26 de febrero de 2024.
«Esta es la primera vez que hemos visto este grupo APT29 apuntar a partidos políticos, lo que indica un posible área de enfoque operativo emergente más allá de la típico apuntar de Misiones diplomáticas«, investigadores Luke Jenkins y Dan Black dicho.
WINELOADER fue revelado por primera vez por Zscaler ThreatLabz el mes pasado como parte de una campaña de ciberespionaje que se cree que ha estado en curso desde al menos julio de 2023. Atribuyó la actividad a un grupo denominado SPIKEDWINE.
Las cadenas de ataque aprovechan los correos electrónicos de phishing con contenido señuelo en alemán que pretende ser una invitación a una cena para engañar a los destinatarios para que hagan clic en un enlace falso y descarguen un archivo de aplicación HTML (HTA) fraudulento, un cuentagotas de primera etapa llamado SIERRA DE RAIZ (también conocido como EnvyScout) que actúa como un conducto para entregar WINELOADER desde un servidor remoto.
«El documento señuelo en alemán contiene un enlace de phishing que dirige a las víctimas a un archivo ZIP malicioso que contiene un dropper ROOTSAW alojado en un sitio web comprometido controlado por un actor», dijeron los investigadores. «ROOTSAW entregó un documento de señuelo con temática de CDU de segunda etapa y una carga útil WINELOADER de siguiente etapa».
WINELOADER, invocado mediante una técnica llamada Carga lateral de DLL usando el legítimo sqldumper.exeviene equipado con capacidades para contactar un servidor controlado por un actor y recuperar módulos adicionales para su ejecución en los hosts comprometidos.
Se dice que comparte similitudes con familias conocidas de malware APT29 como BURNTBATTER, MUSKYBEAT y BEATDROP, lo que sugiere el trabajo de un desarrollador común.
WINELOADER, según la filial de Google Cloud, también participó en una operación dirigida a entidades diplomáticas en la República Checa, Alemania, India, Italia, Letonia y Perú a finales de enero de 2024.
«ROOTSAW sigue siendo el componente central de los esfuerzos de acceso inicial de APT29 para recopilar inteligencia política extranjera», dijo la compañía.
«El uso ampliado del malware de la primera etapa para atacar a los partidos políticos alemanes es una desviación notable del enfoque diplomático típico de este subgrupo APT29, y casi con certeza refleja el interés del SVR en recopilar información de los partidos políticos y otros aspectos de la sociedad civil que podrían hacer avanzar la política de Moscú. intereses geopolíticos».
El acontecimiento se produce cuando los fiscales alemanes han cargado un oficial militar, llamado Thomas H, con delitos de espionaje después de que supuestamente fue sorprendido espiando en nombre de los servicios de inteligencia rusos y transmitiendo información sensible no especificada. Fue arrestado en agosto de 2023.
«A partir de mayo de 2023, se dirigió varias veces por iniciativa propia al Consulado General de Rusia en Bonn y a la Embajada de Rusia en Berlín y se ofreció a cooperar», dijo la Fiscalía Federal. «En una ocasión transmitió información que había obtenido en el marco de su actividad profesional para enviarla a un servicio de inteligencia ruso».