wineloader - RunkIntel

# WINELOADER > Tipo: **backdoor modular** - APT29/Cozy Bear - phishing degustacao de vinhos a diplomatas EU - 2024-2025 > [!high] Backdoor APT29 em Phishing de Degustacao de Vinhos a Diplomatas Europeus > **WINELOADER** é um backdoor modular descoberto em janeiro de 2024, atribuído ao grupo [[g0016-apt29|APT29]] (Cozy Bear/Midnight Blizzard) do SVR russo. Notável pelo vetor de phishing incomum: emails com convites para **degustacao de vinhos** enviados a diplomatas europeus. O malware usa **DLL sideloading** via `sqlwriter.exe` e `vcruntime140.dll` para execução furtiva. Em 2025, foi sucedido pelo **GRAPELOADER** em campanhas mais recentes do APT29. ## Visão Geral [[wineloader|WINELOADER]] é um backdoor modular sofisticado descoberto em janeiro de 2024 pela Mandiant e atribuído com alta confiança ao grupo [[g0016-apt29|APT29]] (também rastreado como Cozy Bear, Midnight Blizzard e Nobelium pela Microsoft). O [[g0016-apt29|APT29]] é o braço cibernético do **SVR** (Servico de Inteligência Estrangeira da Rússia), responsável pelo comprometimento do SolarWinds em 2020 e por dezenas de operações de espionagem de longo prazo contra governos ocidentais. O [[wineloader|WINELOADER]] chama aténcao pelo **vetor de phishing altamente específico e personalizado**: emails com convites para degustacoes de vinhos, enviados a **diplomatas, funcionários de embaixadas e ministérios de relacoes exteriores europeus**. O [[g0016-apt29|APT29]] é conhecido por investir significativamente em engenharia social personalizada - emails que chegam de contas legítimas comprometidas, com convites verossímeis para eventos diplomáticos reais, com documentos Word (.docx) que ao serem abertos acionam o dropper do WINELOADER. Do ponto de vista técnico, o WINELOADER implementa **DLL sideloading** ([[t1574-002-dll-side-loading|T1574.002]]): o arquivo legítimo `sqlwriter.exe` (serviço SQL Server VSS Writer) é copiado junto com uma DLL maliciosa `vcruntime140.dll` - quando o executável legítimo é iniciado, ele carrega a DLL maliciosa em vez da legítima do sistema. Isso mascarara o processo malicioso como um processo SQL Server legítimo, evitando detecção comportamental. As comúnicacoes C2 são cifradas ([[t1573-001-symmetric-cryptography|T1573.001]]) e incluem dados de preenchimento (junk data) para dificultar análise de tráfego ([[t1001-001-junk-data|T1001.001]]). Em 2025, o [[g0016-apt29|APT29]] lancou o **GRAPELOADER** - um successor do WINELOADER com capacidades expandidas, continuando a série de denominacoes relacionadas a bebidas alcoólicas. **Plataformas:** Windows ## Como Funciona 1. **Spear-phishing diplomático:** Email personalizado com convite para degustacao de vinhos ([[t1656-impersonation|T1656]]) enviado a diplomatas e funcionários de ministérios de relacoes exteriores ([[t1204-002-malicious-file|T1204.002]]). 2. **Dropper via MSHTA:** O documento malicioso aciona `mshta.exe` ([[t1218-005-mshta|T1218.005]]) para baixar e executar o dropper do WINELOADER. 3. **DLL Sideloading:** O dropper copia `sqlwriter.exe` (legítimo) e uma DLL maliciosa `vcruntime140.dll` para um diretório temporário - ao executar o `.exe`, a DLL maliciosa é carregada ([[t1574-002-dll-side-loading|T1574.002]]). 4. **Reconhecimento inicial:** Coleta informações do sistema ([[t1082-system-information-discovery|T1082]]) e identidade do usuário ([[t1033-system-owneruser-discovery|T1033]]). 5. **Comúnicação C2 furtiva:** Establece canal C2 cifrado com junk data para mascarar padroes de beaconing ([[t1071-001-web-protocols|T1071.001]], [[t1001-001-junk-data|T1001.001]]), baixa módulos adicionais ([[t1105-ingress-tool-transfer|T1105]]). ```mermaid graph TB A["Spear-phishing Diplomatico Convite degustacao de vinhos T1656 + T1204.002"] --> B["MSHTA Dropper mshta.exe baixa payload T1218.005 - LOLBin"] B --> C["DLL Sideloading sqlwriter.exe + vcruntime140.dll T1574.002 - Processo SQL legítimo"] C --> D["Reconhecimento Sysinfo + usuário T1082 + T1033"] D --> E["C2 Furtivo HTTP cifrado + junk data T1071.001 + T1001.001"] E --> F["Módulos Adicionais Espionagem persistente T1105 - Operação SVR"] classDef phish fill:#1a5276,color:#fff classDef lolbin fill:#8e44ad,color:#fff classDef side fill:#c0392b,color:#fff classDef recon fill:#d35400,color:#fff classDef c2 fill:#2c3e50,color:#fff classDef spy fill:#922b21,color:#fff class A phish class B lolbin class C side class D recon class E c2 class F spy ``` ## Timeline ```mermaid timeline title WINELOADER - APT29 Operacoes Diplomaticas Ján 2024 : WINELOADER descoberto pela Mandiant : Phishing degustacao vinhos diplomatas EU : APT29 - DLL sideloading sqlwriter.exe Mar 2024 : Zscaler e Microsoft publicam análises : Midnight Blizzard confirmado como operador 2024 : Campanhas contínuas contra MFA europeus : Alvos em India, Europa e OTAN 2025 : APT29 lanca GRAPELOADER como successor : Capacidades expandidas sobre WINELOADER ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1204-002-malicious-file\|T1204.002]] | Documento malicioso em phishing diplomático | | Social Engineering | [[t1656-impersonation\|T1656]] | Impersonacao em convites de eventos diplomáticos | | Defense Evasion | [[t1574-002-dll-side-loading\|T1574.002]] | DLL sideloading via sqlwriter.exe | | Execution | [[t1218-005-mshta\|T1218.005]] | MSHTA como dropper LOLBin | | Discovery | [[t1082-system-information-discovery\|T1082]] | Perfil do sistema comprometido | | Discovery | [[t1033-system-owneruser-discovery\|T1033]] | Identidade do usuário e contexto | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via HTTP/HTTPS | | C2 | [[t1001-001-junk-data\|T1001.001]] | Junk data para mascarar beaconing | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | Cifragem das comúnicacoes C2 | | Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de módulos adicionais | ## Relevância LATAM/Brasil O [[wineloader|WINELOADER]] tem relevância para o Brasil específicamente pelo seu alvo diplomático. O Brasil, como membro ativo do G20 e participante de negociacoes internacionais de alto perfil (ONU, BRICS, COP), mantém uma rede diplomática extensa com **embaixadas e consulados em toda a Europa**. Funcionários do **Itamaraty** (Ministério das Relacoes Exteriores) e das embaixadas brasileiras em Berlim, Paris, Londres e Bruxelas são exatamente o perfil de alvo do [[g0016-apt29|APT29]]. A técnica de phishing com convites para eventos culturais (como degustacoes de vinhos) é eficaz porque esses eventos são comuns na vida diplomática. Um funcionário do Itamaraty que recebe um convite aparentemente legítimo para um evento de networking diplomático pode não questionar a autenticidade do convite ou do documento anexado. O ataque ao [[g0016-apt29|APT29]] ao SolarWinds em 2020 demonstrou que o grupo tem capacidades para comprometer cadeia de suprimentos e operar silenciosamente por meses. Organizacoes brasileiras com conexoes ao governo federal e ao setor de política externa devem considerar campanhas de conscientizacao específicas sobre spear-phishing diplomático. **Setores impactados:** [[government|governo]] - diplomacia - relacoes exteriores - organizacoes internacionais - OTAN ## Detecao - Monitorar `sqlwriter.exe` sendo executado fora do contexto normal de servicos SQL Server - Detectar carregamento de `vcruntime140.dll` de diretórios temporários ou de usuário em vez de `%SystemRoot%\System32` - Alertar para execução de `mshta.exe` com URLs externas como argumento - Inspecionar tráfego HTTP com padroes de junk data ou padding incomum em requests periódicos - Implementar treinamento específico de anti-phishing para diplomatas e funcionários de relacoes exteriores - Monitorar downloads de documentos Word de servidores externos por funcionários em cargos sensíveis ## Referências - [1](https://www.mandiant.com/resources/blog/apt29-wineloader-german-political-parties) Mandiant - APT29 WINELOADER Targeting EU Diplomats (2024) - [2](https://www.zscaler.com/blogs/security-research/european-diplomats-targeted-spikedwine-wineloader) Zscaler - SPIKEDWINE WINELOADER Technical Analysis (2024) - [3](https://www.microsoft.com/en-us/security/blog/2024/01/25/midnight-blizzard-guidance-for-responders-on-nation-state-attack/) Microsoft - Midnight Blizzard Nation-State Attack (2024) - [4](https://www.bleepingcomputer.com/news/security/apt29-hackers-use-wine-tasting-phishing-lures-to-target-eu-diplomats/) BleepingComputer - APT29 Wine-Tasting Phishing EU Diplomats (2024) - [5](https://attack.mitre.org/groups/G0016/) MITRE ATT&CK - G0016 APT29 Cozy Bear (2024)