WellMail

O malware WellMail é uma ferramenta de hackers, que pertence ao arsenal do famoso Cozy Bear APT ( Ameaça Persistente Avançada ). Esse grupo de hackers também é conhecido como APT29 , Cosy Duke, Office Monkeys e The Duke. Esse grupo de hackers geralmente é manchete, pois é conhecido por perseguir alvos de alto perfil.

O grupo de hackers da Cozy Bear também se manteve fiel ao seu estilo em sua última campanha. Desta vez, o APT29 visou instituições médicas localizadas no Reino Unido, nos Estados Unidos e no Canadá. Os atacantes parecem ter como alvo instalações e faculdades específicas, responsáveis pela pesquisa do Coronavirus. As instituições médicas visadas pelo APT29 concentraram seus esforços no desenvolvimento de uma vacina ou tratamento para o COVID-19. De acordo com especialistas em malware, o grupo de hackers Cosy Bear está usando a ferramenta de hackers WellMail em sua última campanha. Essa ameaça está escrita na linguagem de programação Go, o que é bastante incomum para o grupo de hackers Cozy Bear.

Depois que o APT29 consegue comprometer o sistema de destino, ele planta uma das três ferramentas de hacking - WellMail, SoreFang ou WellMess. A ameaça WellMail é usada como carga útil de primeiro estágio pelos atacantes. O objetivo do malware WellMail é coletar dados do host infectado. É provável que os atacantes procurem documentos e pesquisas classificados sobre uma possível cura e / ou vacina do COVID-19. A ameaça WellMail é capaz de executar comandos e scripts enviados pelo servidor C&C (Command & Control) dos atacantes. A saída é então transferida para um arquivo de log, que é eventualmente filtrado para o servidor C&C.

Não é provável que o grupo de hackers da Cozy Bear se aposente tão cedo. Esse grupo está ativo desde 2008 e alguns pesquisadores de segurança cibernética acreditam que ele pode ser apoiado pelo governo russo.