Backdoor WINELOADER implantado contra alvos alemães

ddos attack russia

Atores de ameaças afiliados à Rússia implantaram o backdoor WINELOADER em recentes ataques cibernéticos dirigidos a organizações políticas alemãs. No final de fevereiro de 2024, pesquisadores da Mandiant identificaram o grupo APT29, associado à Rússia, utilizando uma versão modificada do backdoor WINELOADER para atingir os partidos políticos alemães, empregando uma isca com o tema da União Democrata Cristã (CDU).

Isto marca a primeira vez que a Mandiant observa o subcluster APT29 direcionando os seus esforços para entidades políticas, indicando um interesse crescente além do seu foco habitual em missões diplomáticas. Os grupos-alvo receberam e-mails de phishing, escritos em alemão, fingindo ser convites para um jantar no dia 1º de março, com o logotipo da CDU. Esses e-mails continham um link que levava a um arquivo ZIP malicioso hospedado em um site comprometido.

Dentro do arquivo ZIP havia um conta-gotas ROOTSAW, utilizado para implantar um documento de isca de segundo estágio também com o tema CDU, junto com uma carga WINELOADER recuperada do site "waterforvoiceless[.]org/util.php". O backdoor WINELOADER possui vários recursos e funções que se sobrepõem a outros malwares no arsenal do APT29, como BURNTBATTER, MUSKYBEAT e BEATDROP, indicando uma provável origem comum.

Vetor de ataque e método de infiltração WINELOADER

O WINELOADER é iniciado através do carregamento lateral de DLL em um executável legítimo do Windows, seguido pela descriptografia da lógica do implante principal usando RC4. Zscaler ThreatLabz identificou inicialmente o WINELOADER em fevereiro de 2023, atribuindo a campanha a um APT conhecido como SPIKEDWINE.

Zscaler alertou que o SPIKEDWINE, um ator de ameaça anteriormente não identificado, foi observado visando autoridades europeias. Os ciberespiões utilizaram um documento PDF como isca, disfarçado de carta-convite do Embaixador da Índia, convidando diplomatas para um evento de degustação de vinhos em fevereiro de 2024.

A campanha é caracterizada pelo seu baixo volume e pela utilização de táticas, técnicas e procedimentos avançados (TTPs) pelos atores da ameaça. O relatório conclui que, com base no mandato do SVR para recolher informações políticas e nos padrões históricos de segmentação deste cluster APT29, esta actividade representa uma ameaça significativa para os partidos políticos europeus e outros ocidentais em todo o espectro político.

Por Zaib
March 26, 2024
Computer Security
Portuguese
March 26, 2024
Computer Security

Postagens Populares

Aplicativo potencialmente indesejado do Softcnapp

1 month atrás

O que é CDMX Ransomware?

3 months atrás

Golpe Jegdex

12 days atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

8 months atrás

Pinaview é um aplicativo de adware completo

11 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

7 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.