Хакеры атакуют дипломатов ЕС, используя поддельные приглашения на винный фестиваль

Русские хакеры, выдавая себя за официальных представителей ЕС, привлекали дипломатов поддельными приглашениями на винную дегустацию, используя незаметное вредоносное ПО GRAPELOADER в рамках эволюционирующей шпионской кампании.

Исследователи в области кибербезопасности обнаружили новую волну фишинговых атак, которые проводит группа хакеров APT29, связанная с Россией, также известная как Cozy Bear. Кампания, обнаруженная Check Point, направлена на европейских дипломатов, обманывая их поддельными приглашениями на дипломатические винные дегустации.

Расследование выявило, что злоумышленники выдали себя за Европейское министерство иностранных дел и отправили дипломатам официально выглядящие приглашения по электронной почте. В электронных письмах содержались ссылки, которые при нажатии приводили к загрузке вредоносного программного обеспечения, спрятанного в файле с названием wine.zip.

Этот файл устанавливает новый инструмент под названием GRAPELOADER, который позволяет злоумышленникам получить доступ к компьютеру жертвы. GRAPELOADER собирает информацию о системе, устанавливает «заднюю дверь» для дальнейших команд и гарантирует, что вредоносное программное обеспечение остается на устройстве даже после перезагрузки.

«GRAPELOADER усовершенствует анти-аналитические методы WINELOADER, внедряя более продвинутые способы скрытия,» — отметили исследователи. В кампании также используется новая версия WINELOADER, известная из предыдущих атак APT29, которая, вероятно, используется на более поздних этапах.

Фишинговые письма были отправлены с доменов, подделывающих настоящих чиновников министерства. Если ссылка в письме не смогла обмануть цель, отправлялись следующие письма, чтобы попробовать еще раз. В некоторых случаях, клик по ссылке перенаправлял пользователей на реальный сайт Министерства, чтобы избежать подозрений.

Процесс заражения использует законный файл PowerPoint для запуска скрытого кода с помощью метода, называемого «боковая загрузка DLL». Затем вредоносное ПО копирует себя в скрытую папку, изменяет системные настройки для автоматического запуска и подключается к удаленному серверу каждую минуту, ожидая дальнейших инструкций.

Атакующие приложили большие усилия, чтобы остаться незамеченными. GRAPELOADER использует сложные техники для перестановки своего кода, стирания своих следов и обхода обнаружения антивирусным программным обеспечением. Эти методы усложняют работу аналитиков по декомпозиции и изучению вредоносного ПО.

Эта кампания показывает, что APT29 продолжает развивать свои тактики, используя творческие и обманные стратегии для шпионажа за правительственными целями по всей Европе.