APT29 busca nuevos objetivos
El grupo asociado al Servicio de Inteligencia Exterior de Rusia amplía su radio de acción en una campaña contra partidos políticos alemanes.
Investigadores de Mandiant han detectado una campaña de phishing dirigida a representantes de partidos políticos alemanes, llevada a cabo a finales del mes de febrero, utilizando como cebo un email que simula ser remitido por la Unión Democrática Cristiana (CDU).
El APT29 siempre ha tenido entre sus objetivos a diplomáticos y personal de los ministerios de asuntos exteriores de todo el mundo. Pero esta es la primera vez que se observa su intento de comprometer a políticos sin relación directa con la escena internacional.
Los emails utilizados en la campaña contenían una supuesta invitación a una cena organizada por la CDU. El fichero PDF adjunto enlazaba a un sitio malicioso controlado por los atacantes.
Al hacer click se produce la descarga de un fichero ZIP que contiene el dropper ROOTSAW. Este obtiene y ejecuta una segunda etapa que culmina con el despliegue de WINELOADER, un backdoor novedoso recientemente analizado por Zscaler.
Una vez en el sistema, esta puerta trasera es capaz de ejecutar módulos adicionales o recibir instrucciones del servidor de comando y control.
Por la actividad de otros clusters asociados al APT29, tras el acceso inicial es habitual que se produzcan intentos de burlar mecanismos de autenticación en la nube o ataques de fuerza bruta mediante password spray.
En el artículo original enlazado más abajo se pueden encontrar indicadores de compromiso de las distintas etapas, el mapeado con la matriz de MITRE ATT&CK e incluso reglas YARA para detectar los componentes asociados.
El equipo de Mandiant cree que este puede ser un primer paso por parte del Servicio de Inteligencia Exterior ruso (SVR) para ampliar aún más el radio de acción del APT29, incorporando a sus objetivos grupos políticos europeos y occidentales.
Fuentes y más información:
