Pesquisadores estão alertando que um conhecido grupo de hackers ligado ao Serviço de Inteligência Estrangeira da Rússia (SVR) está mirando partidos políticos na Alemanha pela primeira vez, desviando seu foco do alvo típico que são as missões diplomáticas.
Os ataques de phishing são projetados para implantar um malware de backdoor chamado WineLoader, que permite aos atores de ameaças obter acesso remoto a dispositivos e redes comprometidos.
O APT29 (também conhecido como Midnight Blizzard, NOBELIUM, Cozy Bear) é um grupo de hackers de espionagem russos que se acredita ser parte do Serviço de Inteligência Estrangeira Russo (SVR)
Este grupo de hackers tem sido associado a muitos ciberataques, incluindo o infame ataque à cadeia de suprimentos do SolarWinds em dezembro de 2020.
Os atores de ameaças permaneceram ativos ao longo desses anos, visando geralmente governos, embaixadas, altos funcionários e várias entidades, utilizando uma gama de táticas de phishing ou comprometimentos na cadeia de suprimentos.
O foco recente do APT29 tem sido nos serviços em nuvem, invadindo sistemas da Microsoft e roubando dados de contas do Exchange, além de comprometer o ambiente de e-mail do MS Office 365 utilizado pela Hewlett Packard Enterprise.
Pesquisadores da Mandiant dizem que o APT29 tem conduzido uma campanha de phishing contra partidos políticos alemães desde o final de fevereiro de 2024.
Isso marca uma mudança significativa no foco operacional do grupo de hackers, pois é a primeira vez que o grupo mira partidos políticos.
Os hackers agora usam e-mails de phishing com um tema sobre a União Democrata Cristã (CDU), um grande partido político na Alemanha e atualmente o segundo maior no parlamento federal (Bundestag).
Os e-mails de phishing vistos pela Mandiant fingem ser convites para jantar da CDU que incorporam um link para uma página externa que libera um arquivo ZIP contendo o 'Rootsaw', um malware dropper.
Quando executado, o malware Rootsaw baixa e executa um backdoor chamado 'WineLoader' no computador da vítima.
O malware WineLoader foi descoberto anteriormente pela Zscaler em fevereiro, que o viu sendo usado em ataques de phishing fingindo ser convites para diplomatas para um evento de degustação de vinhos.
O backdoor WineLoader apresenta várias semelhanças com outras variantes de malware implantadas em ataques anteriores do APT29, como 'burnbatter', 'myskybeat', e 'beatdrop', sugerindo um desenvolvedor comum.
No entanto, o malware é modular e mais personalizado do que as variantes anteriores, não usa loaders prontos e estabelece um canal de comunicação criptografado para troca de dados com o servidor de comando e controle (C2).
Os analistas da Mandiant viram o WineLoader pela primeira vez no final de janeiro de 2024 numa operação mirando diplomatas da República Tcheca, Alemanha, Índia, Itália, Letônia e Peru.
Assim, essa variante em particular parece ter sido o malware de escolha do APT29 recentemente.
Para evitar a detecção, o WineLoader é descriptografado usando o RC4 e carregado diretamente na memória via DLL side-loading, abusando de um executável legitimo do Windows (sqldumper.exe).
O WineLoader envia o nome de usuário da vítima, nome do dispositivo, nome do processo e outras informações para o C2 para ajudar a traçar o perfil do sistema.
O C2 pode ordenar a execução de módulos que podem ser carregados dinamicamente para realizar tarefas específicas, como estabelecer persistência.
Embora a Mandiant não entre em detalhes sobre quaisquer módulos, presume-se que a natureza modular do WineLoader permita a execução de uma ampla gama de atividades de espionagem, de acordo com a missão do APT29.
O APT29 continua demonstrando sua avançada competência técnica e esforços contínuos para desenvolver ferramentas para infiltrar e espionar entidades alvo.
A mudança para partidos políticos sugere a intenção de influenciar ou monitorar processos políticos, possivelmente refletindo objetivos geopolíticos mais amplos.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...