Home Ciberguerra Piratas informáticos rusos atacan a los partidos políticos alemanes con el malware...

Piratas informáticos rusos atacan a los partidos políticos alemanes con el malware WineLoader

Investigadores advierten que un notorio grupo de hackers vinculado al Servicio de Inteligencia Exterior de Rusia (SVR) está atacando a partidos políticos en Alemania por primera vez, desviando su atención de los ataques típicos a las misiones diplomáticas.

Los ataques de phishing están diseñados para implementar un malware de puerta trasera llamado WineLoader, que permite a los actores de amenazas obtener acceso remoto a dispositivos y redes comprometidos.

APT29 (también conocido como Midnight Blizzard, NOBELIUM, Cozy Bear) es un grupo de piratería de espionaje ruso que se cree que forma parte del Servicio de Inteligencia Exterior de Rusia (SVR).

El grupo de piratas informáticos ha estado vinculado a muchos ataques cibernéticos, incluido el infame ataque a la cadena de suministro de SolarWinds en diciembre de 2020.

Los actores de amenazas se han mantenido activos a lo largo de estos años, generalmente apuntando a gobiernos, embajadas, altos funcionarios y diversas entidades utilizando una variedad de tácticas de phishing o compromisos en la cadena de suministro.

El enfoque reciente de APT29 se ha centrado en los servicios en la nube, violando los sistemas de Microsoft y robando datos de cuentas de Exchange, y comprometiendo el entorno de correo electrónico MS Office 365 utilizado por Hewlett Packard Enterprise.

Los investigadores de Mandiant dicen que APT29 ha estado llevando a cabo una campaña de phishing contra partidos políticos alemanes desde finales de febrero de 2024. Esto marca un cambio significativo en el enfoque operativo del grupo de hackers, ya que es la primera vez que el grupo de hackers se dirige a partidos políticos.

Los piratas informáticos utilizan ahora correos electrónicos de phishing con un señuelo temático en torno a la Unión Demócrata Cristiana (CDU), un partido político importante en Alemania y actualmente el segundo más grande en el parlamento federal (Bundestag).

Los correos electrónicos de phishing vistos por Mandiant pretenden ser invitaciones a cenar de la CDU que incluyen un enlace a una página externa que arroja un archivo ZIP que contiene el gotero de malware ‘Rootsaw’.

El malware WineLoader fue descubierto previamente por Zscaler en febrero, quien lo vio implementado en ataques de phishing que pretendían ser invitaciones a diplomáticos para un evento de cata de vinos.

La puerta trasera WineLoader presenta varias similitudes con otras variantes de malware implementadas en ataques APT29 anteriores, como ‘burnbatter’, ‘myskybeat’ y ‘beatdrop’, lo que sugiere un desarrollador común.

Sin embargo, el malware es modular y más personalizado que las variantes anteriores, no utiliza cargadores disponibles en el mercado y establece un canal de comunicación cifrado para el intercambio de datos con el servidor de comando y control (C2).

Los analistas de Mandiant vieron WineLoader por primera vez a finales de enero de 2024 en una operación dirigida a diplomáticos de la República Checa, Alemania, India, Italia, Letonia y Perú. Por lo tanto, esta variante particular parece haber sido el malware elegido por APT29 últimamente.

Para evadir la detección, WineLoader se descifra utilizando RC4 y se carga directamente en la memoria mediante carga lateral de DLL, abusando de un ejecutable legítimo de Windows (sqldumper.exe).

Wineloader envía el nombre de usuario de la víctima, el nombre del dispositivo, el nombre del proceso y otra información al C2 para ayudar a perfilar el sistema.

El C2 puede ordenar la ejecución de módulos que se pueden cargar dinámicamente para realizar tareas específicas, como establecer persistencia.

Aunque Mandiant no profundiza en ningún módulo, se supone que la naturaleza modular de WineLoader le permite ejecutar una amplia gama de actividades de espionaje en línea con la misión de APT29.

APT29 continúa demostrando su competencia técnica avanzada y sus esfuerzos continuos para desarrollar herramientas para infiltrarse y espiar entidades específicas.

El cambio hacia partidos políticos sugiere una intención de influir o monitorear los procesos políticos, lo que posiblemente refleja objetivos geopolíticos más amplios.