Image by Monique Carrati, from Unsplash
Hakerzy Atakują Dyplomatów UE za Pomocą Fałszywych Zaproszeń na Degustację Wina
Przeczytasz w: 2 min
Ostatnia aktualizacja: Apr 17, 2025
-
![Kiara Fabbri]()
-
![Zespół ds. lokalizacji i tłumaczenia]()
Tłumaczenie Zespół ds. lokalizacji i tłumaczenia Usługi związane z tłumaczeniem i lokalizacją treści
Rosyjscy hakerzy, udający urzędników UE, zwabili dyplomatów fałszywymi zaproszeniami na degustację win, wykorzystując dyskretny złośliwy program GRAPELOADER w rozwijającej się kampanii szpiegowskiej.
W pośpiechu? Oto najważniejsze fakty:
- APT29 atakuje dyplomatów UE za pomocą phishingowych emaili, które są przebrane za zaproszenia na degustację win.
- GRAPELOADER używa bardziej dyskretnych taktyk niż poprzednie malware, w tym ulepszeń przeciwko analizie.
- Malware wykonuje ukryty kod za pomocą ładowania boczne DLL w pliku PowerPoint.
Badacze z dziedziny cyberbezpieczeństwa odkryli nową falę ataków phishingowych przeprowadzanych przez powiązaną z Rosją grupę hakerów APT29, znaną również jako Cozy Bear. Kampania, zauważona przez Check Point, celuje w europejskich dyplomatów, zwodząc ich fałszywymi zaproszeniami na degustacje win w dyplomatycznych kręgach.
Śledztwo wykazało, że agresorzy podszywali się pod Europejskie Ministerstwo Spraw Zagranicznych i wysyłali mailowo zaproszenia dyplomatom, które wyglądały oficjalnie. Emaile zawierały linki, które po kliknięciu prowadziły do pobrania ukrytego w pliku o nazwie wine.zip. malware.
Ten plik instaluje nowe narzędzie o nazwie GRAPELOADER, które pozwala agresorom na zyskanie punktu zaczepienia w komputerze ofiary. GRAPELOADER gromadzi informacje o systemie, tworzy tylną furtkę do dalszych poleceń i zapewnia, że malware pozostaje na urządzeniu nawet po ponownym uruchomieniu.
„GRAPELOADER udoskonala techniki przeciwanalityczne WINELOADERA, wprowadzając jednocześnie bardziej zaawansowane metody ukrywania,” zauważyli badacze. Kampania korzysta również z nowszej wersji WINELOADERA, backdoora znanego z poprzednich ataków APT29, który prawdopodobnie jest używany w późniejszych etapach.
Phishingowe e-maile były wysyłane z domen naśladujących prawdziwych urzędników ministerstwa. Jeśli link w e-mailu nie oszukał odbiorcy, wysyłano kolejne wiadomości próbujące ponownie. W niektórych przypadkach kliknięcie linku przekierowywało użytkowników do rzeczywistej strony internetowej Ministerstwa, aby uniknąć podejrzeń.
Proces infekcji wykorzystuje prawidłowy plik PowerPoint do uruchomienia ukrytego kodu za pomocą metody nazywanej „DLL side-loading”. Malware następnie kopiuje się do ukrytego folderu, zmienia ustawienia systemowe, aby uruchamiać się automatycznie i co minutę łączy się z zdalnym serwerem, aby czekać na dalsze instrukcje.
Atakujący dokładali wszelkich starań, aby pozostać niewykrytymi. GRAPELOADER używa skomplikowanych technik do przemieszania swojego kodu, zacierania śladów i unikania wykrycia przez oprogramowanie zabezpieczające. Te metody utrudniają analitykom rozbicie i badanie malware.
Ta kampania pokazuje, że APT29 nadal rozwija swoje taktyki, wykorzystując kreatywne i zwodnicze strategie do szpiegowania rządowych celów na terenie całej Europy.
Poprzedni artykuł
Najnowsze artykuły 
