Backdoor WINELOADER implantado contra alvos alemães
Atores de ameaças afiliados à Rússia implantaram o backdoor WINELOADER em recentes ataques cibernéticos dirigidos a organizações políticas alemãs. No final de fevereiro de 2024, pesquisadores da Mandiant identificaram o grupo APT29, associado à Rússia, utilizando uma versão modificada do backdoor WINELOADER para atingir os partidos políticos alemães, empregando uma isca com o tema da União Democrata Cristã (CDU).
Isto marca a primeira vez que a Mandiant observa o subcluster APT29 direcionando os seus esforços para entidades políticas, indicando um interesse crescente além do seu foco habitual em missões diplomáticas. Os grupos-alvo receberam e-mails de phishing, escritos em alemão, fingindo ser convites para um jantar no dia 1º de março, com o logotipo da CDU. Esses e-mails continham um link que levava a um arquivo ZIP malicioso hospedado em um site comprometido.
Dentro do arquivo ZIP havia um conta-gotas ROOTSAW, utilizado para implantar um documento de isca de segundo estágio também com o tema CDU, junto com uma carga WINELOADER recuperada do site "waterforvoiceless[.]org/util.php". O backdoor WINELOADER possui vários recursos e funções que se sobrepõem a outros malwares no arsenal do APT29, como BURNTBATTER, MUSKYBEAT e BEATDROP, indicando uma provável origem comum.
Vetor de ataque e método de infiltração WINELOADER
O WINELOADER é iniciado através do carregamento lateral de DLL em um executável legítimo do Windows, seguido pela descriptografia da lógica do implante principal usando RC4. Zscaler ThreatLabz identificou inicialmente o WINELOADER em fevereiro de 2023, atribuindo a campanha a um APT conhecido como SPIKEDWINE.
Zscaler alertou que o SPIKEDWINE, um ator de ameaça anteriormente não identificado, foi observado visando autoridades europeias. Os ciberespiões utilizaram um documento PDF como isca, disfarçado de carta-convite do Embaixador da Índia, convidando diplomatas para um evento de degustação de vinhos em fevereiro de 2024.
A campanha é caracterizada pelo seu baixo volume e pela utilização de táticas, técnicas e procedimentos avançados (TTPs) pelos atores da ameaça. O relatório conclui que, com base no mandato do SVR para recolher informações políticas e nos padrões históricos de segmentação deste cluster APT29, esta actividade representa uma ameaça significativa para os partidos políticos europeus e outros ocidentais em todo o espectro político.