# WellMail > Tipo: **malware** · S0515 · [MITRE ATT&CK](https://attack.mitre.org/software/S0515) ## Descrição [[s0515-wellmail|WellMail]] é um malware leve escrito em Golang, utilizado pelo [[g0016-apt29|APT29]] (SVR russo), com design e estrutura similares ao [[wellmess|WellMess]]. O malware foi identificado pelo NCSC britânico e CISA em 2020 como parte de campanhas de espionagem direcionadas a organizações de pesquisa de vacinas COVID-19 em países como Reino Unido, EUA e Canadá, demonstrando o uso estratégico de cyberoperações pelo SVR durante a pandemia. O WellMail é projetado para operações de coleta e exfiltração: realiza descoberta de usuário e configuração de rede do sistema comprometido, coleta dados locais, comprime os dados coletados e os exfiltra usando criptografia assimétrica para garantir confidencialidade. O malware utiliza portas não padrão e protocolos de camada não-aplicação para suas comúnicações, dificultando a detecção por soluções de segurança baseadas em análise de protocolos conhecidos. A dupla WellMail/WellMess representa a abordagem do [[g0016-apt29|APT29]] de utilizar ferramentas leves e especializadas escritas em Golang - uma linguagem que produz binários auto-contidos e de difícil análise - para operações de espionagem de alto valor. O uso dessas ferramentas em campanhas contra pesquisa de saúde durante a pandemia demonstra a disposição do SVR de direcionar recursos de inteligência contra qualquer setor estratégicamente relevante. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção A detecção do WellMail deve focar em execução de binários Golang (identificáveis por strings específicas do runtime Go), comúnicações em portas não padrão e uso de protocolos incomuns para exfiltração. Monitorar processos que comprimem e exfiltram dados locais, especialmente binários sem assinatura digital conhecida, é uma abordagem eficaz. IoCs específicos para o WellMail foram públicados pelo NCSC britânico e CISA após sua descoberta em 2020. ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] realiza espionagem global, com foco especial em pesquisa científica e tecnológica, organizações governamentais e setores estratégicos. Institutos de pesquisa brasileiros, especialmente os ligados a saúde, defesa e tecnologia, são potenciais alvos do SVR. A FIOCRUZ e outros institutos de pesquisa de saúde do Brasil foram particularmente visados globalmente durante a pandemia COVID-19 - o mesmo contexto em que o WellMail foi empregado. Organizações de pesquisa brasileiras devem implementar monitoramento robusto de tráfego de saída e análise de binários não assinados. ## Referências - [MITRE ATT&CK - S0515](https://attack.mitre.org/software/S0515)