Pesquisadores da RISKIQ descobriram mais de 30 comandos e infraestrutura de servidor de controle ativamente servindo malware conhecido como “WellMess / WellMail”.
Esses servidores C2 pertencem a hackers russos do grupo APT29, e a gangue foi identificada há quase um ano pelos governos do Reino Unido, dos Estados Unidos e do Canadá, emitindo um comunicado conjunto.
APT29 (YTTRIUM, THE DUKES,
Grupo COSY BEAR) que se acredita explicitamente estar associado aos Serviços de Inteligência Estrangeiros da Rússia (SVR) e ao malware usado anteriormente em campanhas de espionagem direcionadas à pesquisa COVID-19 no Reino Unido, EUA e Canadá.
Os servidores de comando e controle identificados estão ativamente servindo malware WellMess contra vítimas altamente visadas.
“A atividade descoberta foi notável dado o contexto em que apareceu, vindo na esteira de uma reprovação pública de hackeamento na Rússia pelo presidente Joe Biden em uma recente cúpula com o presidente Vladimir Putin.” RISKIQ disse.
‘WellMess’ é um malware personalizado usado para atingir o número de vítimas globalmente,
e o grupo está usando principalmente os exploits publicados recentemente para ganhar pontos de apoio iniciais.
Um tweet mostra o caminho
A investigação dos pesquisadores começa com o Tweet que contém um indicador sobre o servidor de comando e controle e o certificado assinado.
Uma análise mais aprofundada leva à descoberta de vários endereços IP e certificados adicionais,
também revelou que o servidor C2 associado ao APT29 e WellMess.