Puerta trasera de WINELOADER
Se cree que los ataques cibernéticos que implementan la puerta trasera WINELOADER son organizados por un grupo de piratas informáticos vinculados al Servicio de Inteligencia Exterior de Rusia (SVR). Este grupo, conocido como Midnight Blizzard (también conocido como APT29, BlueBravo o Cozy Bear), ganó notoriedad por su participación en infracciones como SolarWinds y Microsoft. La puerta trasera se ha utilizado anteriormente en ataques dirigidos a entidades diplomáticas mediante señuelos de phishing con cata de vinos.
Los investigadores han descubierto pruebas que sugieren que Midnight Blizzard utilizó este malware para atacar a los partidos políticos alemanes a finales de febrero de 2024, empleando correos electrónicos de phishing adornados con el logotipo de la Unión Demócrata Cristiana (CDU). Este es el primer caso en el que se observa que la APT29 apunta específicamente a partidos políticos, lo que sugiere un posible cambio en su enfoque operativo lejos de las misiones diplomáticas tradicionales.
La puerta trasera WINELOADER infecta a las víctimas a través de una cadena de ataque de varias etapas
En febrero de 2024, los investigadores revelaron la existencia de WINELOADER como parte de una campaña de ciberespionaje en curso que se cree que comenzó en julio de 2023. Esta actividad se ha atribuido a un grupo conocido como SPIKEDWINE.
La estrategia de ataque implica correos electrónicos de phishing con contenido en alemán diseñado para atraer a los destinatarios con la promesa de una invitación a una cena. Estos correos electrónicos tienen como objetivo engañar a los destinatarios para que hagan clic en un enlace engañoso, lo que lleva a la descarga de un archivo de aplicación HTML (HTA) fraudulento llamado ROOTSAW (también conocido como EnvyScout ). ROOTSAW sirve como cuentagotas inicial, facilitando la entrega de WINELOADER desde un servidor remoto.
El documento señuelo en alemán dentro de los correos electrónicos de phishing dirige a las víctimas a un archivo ZIP malicioso alojado en un sitio web comprometido controlado por los actores. Este archivo ZIP contiene el cuentagotas ROOTSAW. Tras la ejecución, ROOTSAW entrega un documento señuelo de segunda etapa con el tema de la Unión Demócrata Cristiana (CDU) y posteriormente despliega la carga útil WINELOADER.
WINELOADER, que utiliza la carga lateral de DLL a través del sqldumper.exe legítimo, posee capacidades para establecer comunicación con un servidor controlado por los actores de amenazas, lo que permite la recuperación y ejecución de módulos adicionales en hosts comprometidos.
El análisis revela similitudes entre WINELOADER y otras familias de malware asociadas con APT29, como BURNTBATTER, MUSKYBEAT y BEATDROP, lo que sugiere un desarrollador o metodología de desarrollo compartido. Además, WINELOADER ha sido identificado en una operación dirigida a entidades diplomáticas en varios países, incluidos la República Checa, Alemania, India, Italia, Letonia y Perú, a finales de enero de 2024.
APT29 puede estar ampliando su alcance para incluir nuevos objetivos
ROOTSAW sigue siendo un componente crítico en las estrategias iniciales de infiltración de APT29 destinadas a recopilar inteligencia política extranjera. La utilización de este malware de primera etapa para atacar a los partidos políticos alemanes marca una desviación notable de los objetivos diplomáticos típicos asociados con este subgrupo APT29. Este cambio refleja sin duda el gran interés del SVR en adquirir información de los partidos políticos y otras facetas de la sociedad civil que podría reforzar los objetivos geopolíticos de Moscú.
Este acontecimiento coincide con una acción legal emprendida en Alemania, donde los fiscales han presentado cargos de espionaje contra un oficial militar llamado Thomas H. Está acusado de actividades de espionaje supuestamente realizadas en nombre de los servicios de inteligencia rusos que implican la transmisión de información confidencial no especificada. Thomas H. fue detenido en agosto de 2023.
