.
Os ciberespiões do Kremlin tiveram como alvo os partidos políticos alemães em uma campanha de phishing que usou e-mails disfarçados de convites para jantares, segundo a Mandiant.
O Cozy Bear da Rússia, também conhecido como APT29 e Midnight Blizzard, projetou as mensagens para infectar os PCs Windows das marcas com um backdoor observado pela primeira vez em janeiro e apelidado de WINELOADER. O objetivo era fornecer acesso de longo prazo às redes e dados dos partidos políticos, afirmou na sexta-feira a empresa de segurança apoiada pelo Google.
Esta é a primeira vez que o grupo de ciberespionagem, ligado ao Serviço de Inteligência Estrangeiro Russo (SVR), tem como alvo partidos políticos, segundo o relatório.
“Os partidos políticos ocidentais e seus órgãos associados de todo o espectro político também são provavelmente alvos possíveis para futuras atividades de espionagem cibernética ligadas ao SVR, dado o interesse vital de Moscou em compreender as mudanças na dinâmica política ocidental relacionadas à Ucrânia e outras questões críticas de política externa”, disse Luke Jenkins, da Mandiant. e Dan Black escreveu em um alerta.
Esta é a mesma equipe que criou backdoors no software de monitoramento de rede da SolarWinds e depois usou esse acesso para espionar clientes como os departamentos do Tesouro, Justiça e Energia dos EUA e o Pentágono.
Os últimos e-mails de phishing da Cozy Bear, enviados no mês passado, foram concebidos para dar a impressão de terem sido enviados pela União Democrata Cristã (CDU) da Alemanha e incluíam o logotipo do principal partido político, convidando os destinatários para um jantar de recepção no dia 1º de março.
As vítimas, ansiosas para confirmar que queriam coquetéis e canapés, foram direcionadas a clicar em um link para um site sequestrado e controlado pelo Cosy Bear – waterforvoiceless[.]org/invite.php – que baixaria um arquivo .zip. Marks que abrisse o arquivo e depois seu conteúdo acabaria executando um programa chamado ROOTSAW, que infectaria o PC com o backdoor WINELOADER, obtido do waterforvoiceless[.]org/util.php.
WINELOADER é um código bastante inteligente que usa várias técnicas de ofuscação para esconder o fato de que permite que a máquina seja secretamente controlada remotamente por seus mentores, permitindo que esses malfeitores façam todo tipo de coisas em PCs infectados, como executar comandos e espionando os aplicativos do usuário.
O programa backdoor foi descoberto pelo ThreatLabz da Zscaler em 30 de janeiro e foi usado em campanhas de phishing visando entidades diplomáticas na Europa, Índia e Peru.
Embaixador, com este malware você está nos estragando!
A equipe Zscaler disse que o WINELOADER foi entregue nos computadores pessoais dos alvos a partir de um convite falso para um evento de degustação de vinhos supostamente enviado por um embaixador da Índia, também em fevereiro de 2024.
De acordo com a Mandiant, esse backdoor se sobrepõe a vários outros tipos de software malicioso usados pelo Cozy Bear, mas é “consideravelmente mais personalizado do que as variantes anteriores, pois não usa mais carregadores disponíveis publicamente como DONUT ou DAVESHELL e implementa um mecanismo C2 exclusivo”. ‘recontada.
Num comunicado à comunicação social, a CDU afirmou que “recebeu informações muito rápidas sobre o ataque… Não houve jantar oficial da CDU no dia 1 de março, o acontecimento foi fictício”. Pedimos mais detalhes.
Além de expandir seus objetivos e técnicas, a Cosy Bear também tem estado à espreita nas redes da Microsoft – uma antiga favorita da equipe russa – roubando código-fonte, obtendo acesso a sistemas internos e bisbilhotando as caixas de entrada de e-mail dos executivos. ®
.
