Um grupo de espionagem patrocinado pelo estado russo, conhecido como Midnight Blizzard, está por trás de uma nova campanha de spear-phishing mirando entidades diplomáticas na Europa, incluindo embaixadas.
Midnight Blizzard, também conhecido como 'Cozy Bear' ou 'APT29', é um grupo de ciberespionagem patrocinado pelo estado ligado ao Serviço de Inteligência Estrangeira da Rússia (SVR).
De acordo com a Check Point Research, a nova campanha introduz um carregador de malware antes nunca visto chamado 'GrapeLoader', e uma nova variante do backdoor 'WineLoader'.
A campanha de phishing começou em janeiro de 2025 e inicia com um email falsificando um Ministério das Relações Exteriores, enviado de 'bakenhof[.]com' ou 'silry[.]com', convidando o destinatário para um evento de degustação de vinhos.
O email contém um link malicioso que, se as condições de vitimização forem atendidas, dispara o download de um arquivo ZIP (wine.zip).
Caso contrário, redireciona as vítimas para o site legítimo do Ministério.
O arquivo contém um executável legítimo do PowerPoint (wine.exe), um arquivo DLL necessário para o funcionamento do programa e a carga maliciosa GrapeLoader (ppcore.dll).
O carregador de malware é executado via sideloading de DLL, que coleta informações do host, estabelece persistência via modificação do Registro do Windows e contata o command-and-control (C2) para receber o shellcode que carrega na memória.
É provável que o GrapeLoader substitua o carregador HTA de primeira fase anteriormente utilizado, 'RootSaw', sendo mais furtivo e sofisticado.
A Check Point destaca o uso de proteções de memória 'PAGE_NOACCESS' e um atraso de 10 segundos antes de executar o shellcode via 'ResumeThread' para esconder a execução da carga maliciosa de antivírus e scanners EDR.
As principais tarefas do GrapeLoader nesta campanha são reconhecimento furtivo e entrega do WineLoader, que chega como um arquivo DLL da VMware Tools trojanizado.
O WineLoader é um backdoor modular que coleta informações detalhadas do host e facilita operações de espionagem.
Os dados coletados incluem: endereços IP, nome do processo em que opera, nome de usuário Windows, nome da máquina Windows, ID do Processo e nível de privilégio.
Essas informações podem ajudar a identificar ambientes de sandbox e avaliar o alvo para o lançamento de cargas subsequentes.
A nova variante observada na última campanha do APT29 é fortemente ofuscada usando duplicação de RVA, incompatibilidades na tabela de exportação e instruções desnecessárias para dificultar a engenharia reversa.
A Check Point observa que a ofuscação de strings na nova variante do WineLoader desempenha um papel crucial anti-análise, tendo evoluído significativamente em comparação com versões anteriores.
"Anteriormente, ferramentas automatizadas como FLOSS podiam facilmente extrair e desofuscar strings de uma amostra descompactada do WINELOADER", explicam os pesquisadores.
"A implementação aprimorada na nova variante perturba esse processo, fazendo com que a extração automática de strings e a desofuscação falhem."
Devido à campanha ser altamente direcionada e o malware operar inteiramente na memória, a Check Point não conseguiu recuperar a payload completa da segunda fase do WineLoader ou plugins adicionais, portanto o espectro completo de suas capacidades ou natureza personalizada por vítima permanece incerto.
As descobertas da Check Point mostram que as táticas e o conjunto de ferramentas do APT29 evoluem, tornando-se mais furtivas e avançadas, exigindo defesas em múltiplas camadas e vigilância aumentada para detectar e interromper.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...