Hackerek Célpontjában az EU Diplomatái: Hamis Boros Esemény Meghívókkal Támadnak

Orosz hackerek, akik az EU hivatalnokainak adták ki magukat, csalárd módon boros meghívókkal csábították be a diplomatákat, és a GRAPELOADER nevű rejtélyes kártevőt telepítették egy folyamatosan fejlődő kémkedési kampány keretében.

Kiberbiztonsági kutatók felfedeztek egy új hullámot a zsarolóprogramos támadásokból, amelyeket az APT29 néven is ismert, Oroszországhoz köthető hackercsoport, a Cozy Bear hajtott végre. A kampányt, amelyet a Check Point jelez, európai diplomákat céloz meg, hamis meghívókkal trükközve őket diplomáciai borozó eseményekre.

A vizsgálat azt találta, hogy a támadók egy európai külügyminisztériumként adták ki magukat és hivatalosnak tűnő meghívókat küldtek diplomáta személyeknek. Az e-mailek olyan linkeket tartalmaztak, amelyekre kattintva a felhasználók egy, a wine.zip névre hallgató fájlban rejtőző kártékony szoftvert tölthettek le.

Ez a fájl egy új eszközt telepít a számítógépre, amely a nevén GRAPELOADER-ként ismert. Ez lehetővé teszi a támadók számára, hogy lábukat betegyék az áldozat számítógépébe. A GRAPELOADER összegyűjti a rendszerinformációkat, létrehoz egy hátsó kaput a további parancsok számára, és gondoskodik arról, hogy a kártékony szoftver még a számítógép újraindítása után is a készüléken maradjon.

“A GRAPELOADER finomítja a WINELOADER ellenanalízis technikáit, miközben fejlettebb rejtőzködési módszereket vezet be” – jegyezték meg a kutatók. A kampány egy újabb verzióját is használja a WINELOADER-nek, ami egy korábbi APT29 támadásokból ismert hátsó ajtó, és valószínűleg a későbbi szakaszokban kerül felhasználásra.

A phishing e-maileket olyan domainekről küldték, amelyek valódi minisztériumi tisztségviselőket utánoztak. Ha az e-mailben található link nem tudta becsapni a célszemélyt, újabb e-maileket küldtek, hogy újra próbálkozzanak. Néhány esetben a linkre kattintva az felhasználókat az eredeti Minisztérium weboldalára irányította, hogy elkerülje a gyanút.

A fertőzési folyamat egy törvényes PowerPoint fájlt használ rejtett kód futtatásához, egy „DLL oldalbetöltés” nevű módszer segítségével. A kártevő ezután lemásolja magát egy rejtett mappába, megváltoztatja a rendszerbeállításokat az automatikus indítás érdekében, és percenként kapcsolódik egy távoli szerverhez, hogy további utasításokra várjon.

A támadók nagy erőfeszítéseket tettek, hogy rejtve maradjanak. A GRAPELOADER bonyolult technikákat használ a kódja összezavarására, nyomainak eltüntetésére és a biztonsági szoftverek általi észlelés elkerülésére. Ezek a módszerek nehezebbé teszik az elemzők számára a kártevő lebontását és tanulmányozását.

Ez a kampány azt mutatja, hogy az APT29 továbbra is fejleszti taktikáját, kreatív és megtévesztő stratégiákat alkalmazva európai kormányzati célpontok megfigyelésére.