Hackers rusos utilizan malware ‘WINELOADER’ para atacar partidos políticos alemanes

Luis Quiles

marzo 24, 2024

Ciber espionaje

El backdoor WINELOADER utilizado en recientes ciberataques dirigidos a entidades diplomáticas con señuelos de cata de vinos ha sido atribuido como obra de un grupo de hackers con vínculos con el Servicio de Inteligencia Exterior de Rusia (SVR), responsable de la violación de seguridad de SolarWinds y Microsoft.

Los hallazgos provienen de Mandiant, que afirmó que Midnight Blizzard (también conocido como APT29, BlueBravo o Cozy Bear) utilizó el malware para atacar a partidos políticos alemanes con correos electrónicos de phishing que llevaban el logotipo de la Unión Demócrata Cristiana (CDU) alrededor del 26 de febrero de 2024.

«Esta es la primera vez que vemos a este grupo APT29 dirigirse a partidos políticos, lo que indica un posible área de enfoque operativo emergente más allá del típico objetivo de misiones diplomáticas», dijeron los investigadores Luke Jenkins y Dan Black.

WINELOADER fue revelado por primera vez por Zscaler ThreatLabz el mes pasado como parte de una campaña de espionaje cibernético que se cree que ha estado en curso desde al menos julio de 2023. Atribuyó la actividad a un grupo denominado SPIKEDWINE.

Las cadenas de ataque aprovechan correos electrónicos de phishing con contenido de señuelo en alemán que pretende ser una invitación para una recepción de cena para engañar a los destinatarios para que hagan clic en un enlace falso y descarguen un archivo HTML Application (HTA) malicioso, un dropper de primera etapa llamado ROOTSAW (también conocido como EnvyScout) que actúa como conducto para entregar WINELOADER desde un servidor remoto.

«El documento de señuelo en alemán contiene un enlace de phishing que dirige a las víctimas a un archivo ZIP malicioso que contiene un dropper ROOTSAW alojado en un sitio web comprometido controlado por los actores», dijeron los investigadores. «ROOTSAW entregó un documento de señuelo temático de la CDU de segunda etapa y una carga útil de WINELOADER de próxima etapa».

WINELOADER, invocado a través de una técnica llamada DLL side-loading utilizando el legítimo sqldumper.exe, está equipado con la capacidad de contactar a un servidor controlado por los actores y descargar módulos adicionales para su ejecución en los hosts comprometidos.

Se dice que comparte similitudes con familias de malware conocidas de APT29 como BURNTBATTER, MUSKYBEAT y BEATDROP, lo que sugiere el trabajo de un desarrollador común.

WINELOADER, según la subsidiaria de Google Cloud, también se ha utilizado en una operación dirigida a entidades diplomáticas en la República Checa, Alemania, India, Italia, Letonia y Perú a fines de enero de 2024.

«ROOTSAW sigue siendo el componente central de los esfuerzos de acceso inicial de APT29 para recopilar inteligencia política extranjera», dijo la compañía.

«El uso expandido del malware de primera etapa para atacar partidos políticos alemanes es un cambio destacado del enfoque diplomático típico de este subgrupo de APT29, y casi con certeza refleja el interés del SVR en obtener información de partidos políticos y otros aspectos de la sociedad civil que podrían avanzar en los intereses geopolíticos de Moscú.»

El desarrollo ocurre mientras los fiscales alemanes han acusado a un oficial militar, llamado Thomas H, de delitos de espionaje después de que presuntamente fuera sorprendido espiando en nombre de los servicios de inteligencia rusos y transmitiendo información sensible no especificada. Fue arrestado en agosto de 2023.

«Desde mayo de 2023, se acercó al Consulado General de Rusia en Bonn y a la Embajada de Rusia en Berlín varias veces por iniciativa propia y ofreció cooperar», dijo la Oficina del Fiscal Federal. «En una ocasión, transmitió información que había obtenido en el curso de sus actividades profesionales para ser enviada a un servicio de inteligencia ruso».

Tags :