WINELOADER Backdoor

Acredita-se que os ataques cibernéticos que implantam o backdoor WINELOADER tenham sido configurados por um grupo de hackers vinculado ao Serviço de Inteligência Estrangeira (SVR) da Rússia. Este grupo, conhecido como o Midnight Blizzard (também conhecido como APT29, BlueBravo ou Cozy Bear), ganhou notoriedade por seu envolvimento em violações como SolarWinds e Microsoft. O backdoor já foi usado em ataques direcionados a entidades diplomáticas por meio de iscas de phishing para degustação de vinhos.

Os pesquisadores descobriram evidências que sugerem que a Midnight Blizzard utilizou esse malware para atingir os partidos políticos alemães no final de fevereiro de 2024, empregando e-mails de phishing adornados com o logotipo da União Democrata Cristã (CDU). Isto marca o primeiro caso em que o APT29 foi observado visando especificamente partidos políticos, sugerindo uma potencial mudança no seu foco operacional, afastando-se das missões diplomáticas tradicionais.

O Backdoor WINELOADER Infecta Vítimas por Meio de uma Cadeia de Ataque em Vários Estágios

Em Fevereiro de 2024, os investigadores divulgaram a existência do WINELOADER como parte de uma campanha de espionagem cibernética em curso que se acredita ter começado em Julho de 2023. Esta actividade foi atribuída a um cluster conhecido como SPIKEDWINE.

A estratégia de ataque envolve e-mails de phishing contendo conteúdo em alemão, projetados para atrair destinatários com a promessa de um convite para jantar. Esses e-mails têm como objetivo induzir os destinatários a clicar em um link enganoso, levando ao download de um arquivo HTML Application (HTA) nocivo chamado ROOTSAW (também conhecido como EnvyScout). O ROOTSAW serve como dropper inicial, facilitando a entrega do WINELOADER a partir de um servidor remoto.

O documento de isca em alemão contido nos e-mails de phishing direciona as vítimas para um arquivo ZIP malicioso hospedado em um site comprometido controlado pelos atores. Este arquivo ZIP contém o conta-gotas ROOTSAW. Após a execução, o ROOTSAW entrega um documento de isca de segundo estágio com o tema da União Democrata Cristã (CDU) e posteriormente implanta a carga útil do WINELOADER.

O WINELOADER, utilizando carregamento lateral de DLL por meio do legítimo sqldumper.exe, possui recursos para estabelecer comunicação com um servidor controlado pelos atores da ameaça, permitindo a recuperação e execução de módulos adicionais em hosts comprometidos.

A análise revela semelhanças entre o WINELOADER e outras famílias de malware associadas ao APT29, tais como o BURNTBATTER, MUSKYBEAT e BEATDROP, sugerindo um desenvolvedor ou metodologia de desenvolvimento compartilhada. Além disso, o WINELOADER foi identificado numa operação dirigida a entidades diplomáticas em vários países, incluindo a República Checa, Alemanha, Índia, Itália, Letónia e Peru, no final de janeiro de 2024.

O APT29 pode estar Expandindo o Seu Escopo para Incluir Novos Alvos

O ROOTSAW continua a ser um componente crítico nas estratégias iniciais de infiltração do APT29 destinadas a recolher inteligência política estrangeira. A utilização deste malware de primeiro estágio para atingir os partidos políticos alemães marca um afastamento notável dos alvos diplomáticos típicos associados a este subcluster APT29. Esta mudança reflecte, sem dúvida, o grande interesse do SVR em adquirir informações dos partidos políticos e de outras facetas da sociedade civil que possam reforçar os objectivos geopolíticos de Moscovo.

Este desenvolvimento coincide com a acção judicial intentada na Alemanha, onde os procuradores apresentaram acusações de espionagem contra um oficial militar chamado Thomas H. Ele é acusado de actividades de espionagem alegadamente conduzidas em nome dos serviços de inteligência russos, envolvendo a transmissão de informações sensíveis não especificadas. Thomas H. foi detido em agosto de 2023.