Хакери атакуват дипломати от ЕС с фалшиви покани за винен евент

Руски хакери, преструващи се за служители на Европейския съюз, примамваха дипломати с фалшиви покани за винени дегустации, използвайки стелт малуера GRAPELOADER в една постоянно развиваща се шпионска кампания.

Изследователите в областта на киберсигурността разкриха нова вълна от фишинг атаки, извършвани от свързаната с Русия хакерска група APT29, известна още като Cozy Bear. Кампанията, открита от Check Point, е насочена срещу европейски дипломати, като ги заблуждава с фалшиви покани за дегустация на вино в дипломатически кръгове.

Разследването установи, че нападателите се представиха като Европейско министерство на външните работи и изпратиха на дипломатите покани, които изглеждаха официални. Имейлите съдържаха връзки, които при кликване водеха до изтеглянето на зловреден софтуер, скрит във файл с името wine.zip.

Този файл инсталира нов инструмент наречен GRAPELOADER, който позволява на нападателите да получат достъп до компютъра на жертвата. GRAPELOADER събира информация за системата, създава заден вход за допълнителни команди и гарантира, че зловредният софтуер остава на устройството дори след рестартиране.

„GRAPELOADER усъвършенства анти-анализиращите техники на WINELOADER, при това въвежда и по-напредничави методи за скриване“, забелязаха изследователите. Кампанията също така използва по-нова версия на WINELOADER, бекдор, известен от предишни атаки на APT29, който вероятно се използва в по-късните етапи.

Фишинг имейлите бяха изпратени от домейни, имитиращи истински официали от министерството. Ако връзката в имейла не успяваше да измами целта, изпращаха се последващи имейли с опити за нова измама. В някои случаи, кликването на връзката пренасочваше потребителите към истинския уебсайт на министерството, за да се избегне подозрение.

Процесът на инфекция използва легитимен PowerPoint файл, за да стартира скрит код чрез метод, известен като „DLL side-loading“. Малуерът след това се копира в скрита папка, променя системните настройки, за да се стартира автоматично, и се свързва с отдалечен сървър на всеки минута, за да очаква допълнителни инструкции.

Атакуващите положиха големи усилия, за да останат незабелязани. GRAPELOADER използва сложни техники, за да разбърка кода си, да изтрие следите си и да избегне откриването от софтуера за сигурност. Тези методи затрудняват анализаторите да разглобят и проучат малуера.

Тази кампания показва, че APT29 продължава да развива тактиките си, използвайки креативни и измамни стратегии за шпиониране на правителствени цели по цяла Европа.