Hakkerit Kohdistavat Hyökkäyksiään EU-Diplomaatteihin Väärennetyillä Viinitapahtumakutsuilla

Venäläiset hakkerit esittäytyivät EU-virkailijoina ja houkuttelivat diplomaatteja väärennetyillä viinikutsuilla, käyttäen salakavalaa haittaohjelmaa GRAPELOADER osana jatkuvasti kehittyvää vakoilukampanjaansa.

Kyberturvallisuustutkijat ovat paljastaneet uuden aallon phishing-hyökkäyksiä, jotka Venäjään linkitetty hakkeriryhmä APT29, tunnetaan myös nimellä Cozy Bear, on toteuttanut. Kampanjan, jonka Check Point on merkinnyt, kohdistuu Euroopan diplomaatteihin houkuttelemalla heitä väärennetyillä kutsuilla diplomaattisiin viininmaistajaisiin.

Tutkimuksessa selvisi, että hyökkääjät esittivät olevansa eurooppalaisen ulkoministeriön edustajia ja lähettivät diplomaateille virallisilta näyttäviä kutsuja. Sähköpostit sisälsivät linkkejä, jotka napsautettaessa johtivat haittaohjelman lataukseen, joka oli piilotettu tiedostoon nimeltä wine.zip.

Tämä tiedosto asentaa uuden työkalun nimeltä GRAPELOADER, joka antaa hyökkääjille jalansijan uhrin tietokoneessa. GRAPELOADER kerää järjestelmätietoja, luo takaoven lisäkomentoja varten ja varmistaa, että haittaohjelma pysyy laitteessa jopa uudelleenkäynnistyksen jälkeen.

”Tutkijat huomauttivat, että GRAPELOADER jalostaa WINELOADERin anti-analyysitekniikoita ja tuo samalla käyttöön edistyneempiä stealth-menetelmiä. Kampanjassa käytetään myös uudempaa versiota WINELOADERista, joka on tunnettu aiemmista APT29-hyökkäyksistä ja jota todennäköisesti käytetään myöhemmissä vaiheissa.

Phishing-sähköpostit lähetettiin alueilta, jotka matkivat oikeita ministeriön virkamiehiä. Jos sähköpostin linkki ei onnistunut huijaamaan kohdetta, lähetettiin seurantaviestejä yrittämään uudelleen. Joissakin tapauksissa linkin napsauttaminen ohjasi käyttäjät todelliselle ministeriön verkkosivustolle epäilyjen välttämiseksi.

”Infektionprosessi käyttää laillista PowerPoint-tiedostoa suorittamaan piilotettua koodia menetelmällä, jota kutsutaan ”DLL side-loadingiksi”. Haittaohjelma kopioi itsensä sitten piilotettuun kansioon, muuttaa järjestelmän asetuksia käynnistyäkseen automaattisesti ja yhdistää etäpalvelimeen joka minuutti odottaakseen lisäohjeita.

Hyökkääjät tekivät suuria ponnistuksia pysyäkseen piilossa. GRAPELOADER käyttää monimutkaisia tekniikoita koodinsa salaamiseen, jälkiensä pyyhkimiseen ja välttääkseen havaitsemisen turvaohjelmistojen toimesta. Nämä menetelmät tekevät siitä vaikeamman analysoijille purkaa ja tutkia haittaohjelmaa.

Tämä kampanja osoittaa, että APT29 kehittää jatkuvasti taktiikoitaan, käyttäen luovia ja harhaanjohtavia strategioita vakoillakseen hallituskohteita ympäri Eurooppaa.