La puerta trasera WINELOADER utilizada en recientes ataques cibernéticos dirigidos a entidades diplomáticas con señuelos de phishing con sabor a vino se ha atribuido a la obra de un grupo de piratas informáticos con vínculos con el Servicio de Inteligencia Exterior de Rusia (SVR), que fue responsable de violar SolarWinds y Microsoft .

Los descubrimientos provienen de Mandiant, quienes afirmaron que Midnight Blizzard (también conocido como APT29, BlueBravo o Cozy Bear) utilizó el malware para atacar partidos políticos alemanes mediante correos electrónicos de phishing con el logotipo de la Unión Demócrata Cristiana (CDU) alrededor del 26 de febrero de 2024.

“Es la primera vez que vemos a este grupo APT29 dirigirse a partidos políticos, lo que sugiere un posible cambio en su enfoque operativo más allá de los objetivos habituales de misiones diplomáticas”, señalaron los investigadores Luke Jenkins y Dan Black.

WINELOADER fue revelado por primera vez por Zscaler ThreatLabz el mes pasado como parte de una campaña de ciberespionaje que se cree que ha estado en curso desde al menos julio de 2023. Atribuyó la actividad a un grupo denominado SPIKEDWINE.

Las cadenas de ataque aprovechan los correos electrónicos de phishing con contenido en alemán que pretende ser una invitación a una cena para engañar a los destinatarios para que hagan clic en un enlace falso y descarguen un archivo de aplicación HTML (HTA) fraudulento, un cuentagotas de primera etapa llamado ROOTSAW (también conocido como EnvyScout) que actúa como un conducto para entregar WINELOADER desde un servidor remoto.

“El documento señuelo en alemán contiene un enlace de phishing que dirige a las víctimas a un archivo ZIP malicioso que contiene un dropper ROOTSAW alojado en un sitio web comprometido controlado por un actor”, dijeron los investigadores. “ROOTSAW entregó un documento de señuelo con temática de CDU de segunda etapa y una carga útil WINELOADER de siguiente etapa”.

WINELOADER, invocado a través de una técnica llamada carga lateral de DLL usando el sqldumper.exe legítimo, viene equipado con capacidades para contactar un servidor controlado por un actor y recuperar módulos adicionales para su ejecución en los hosts comprometidos.

Se dice que comparte similitudes con familias conocidas de malware APT29 como BURNTBATTER, MUSKYBEAT y BEATDROP, lo que sugiere el trabajo de un desarrollador común.

WINELOADER, según la filial de Google Cloud, también participó en una operación dirigida a entidades diplomáticas en la República Checa, Alemania, India, Italia, Letonia y Perú a finales de enero de 2024.

“ROOTSAW sigue siendo el componente central de los esfuerzos de acceso inicial de APT29 para recopilar inteligencia política extranjera”, dijo la compañía.

“El uso ampliado del malware de la primera etapa para atacar a los partidos políticos alemanes es una desviación notable del enfoque diplomático típico de este subgrupo APT29, y casi con certeza refleja el interés del SVR en recopilar información de los partidos políticos y otros aspectos de la sociedad civil que podrían hacer avanzar la política de Moscú. intereses geopolíticos”.

Fuente: thehackernews.com