Хакери Беруть на Мушенників Дипломатів ЄС з Підробленими Запрошеннями на Винні Заходи

Російські хакери, виступаючи під виглядом представників ЄС, заманили дипломатів запрошеннями на дегустацію вина, використовуючи при цьому непомітний шкідливий ПЗ GRAPELOADER у рамках розвиваючоїся шпигунської кампанії.

Дослідники в сфері кібербезпеки виявили нову хвилю фішингових атак, які проводить російська хакерська група APT29, також відома як Cozy Bear. Кампанію, на яку вказав Check Point, орієнтовано на європейських дипломатів, обманом залучаючи їх фальшивими запрошеннями на дипломатичні дегустації вина.

Розслідування виявило, що нападники виступали в ролі Європейського міністерства закордонних справ і надсилали дипломатам запрошення, які виглядали офіційними. Електронні листи містили посилання, які при натисканні приводили до завантаження шкідливого програмного забезпечення, прихованого в файлі під назвою wine.zip.

Цей файл встановлює новий інструмент під назвою GRAPELOADER, який дозволяє нападникам зайняти позиції в комп’ютері жертви. GRAPELOADER збирає інформацію про систему, створює “задні двері” для подальших команд і гарантує, що шкідливе програмне забезпечення залишається на пристрої навіть після перезавантаження.

“GRAPELOADER вдосконалює антианалітичні методи WINELOADER, впроваджуючи більш передові методи невиявленості,” – відзначили дослідники. Кампанія також використовує новішу версію WINELOADER, бекдор, відомий з попередніх атак APT29, який, ймовірно, використовується на пізніших етапах.

Рибальські електронні листи були надіслані з доменів, що імітували справжніх посадовців міністерства. Якщо посилання в електронному листі не обмануло ціль, були відправлені додаткові листи, щоб спробувати знову. У деяких випадках, при натисканні на посилання, користувачі були перенаправлені на справжній веб-сайт Міністерства, щоб уникнути підозр.

Процес інфекції використовує легітимний файл PowerPoint для запуску прихованого коду за допомогою методу, який називається “завантаження бібліотек DLL”. Потім шкідливе ПЗ копіює себе в приховану папку, змінює системні налаштування, щоб автоматично запускатися, і підключається до віддаленого сервера кожну хвилину, очікуючи подальших інструкцій.

Атакуючі зробили все можливе, щоб залишатися непомітними. GRAPELOADER використовує складні техніки, щоб заплутати свій код, знищити свої сліди та уникнути виявлення антивірусними програмами. Ці методи ускладнюють роботу аналітиків із розбором та вивченням шкідливого ПЗ.

Ця кампанія показує, що APT29 продовжує розвивати свої тактики, використовуючи креативні та обманливі стратегії для шпигунства за урядовими цілями по всій Європі.