האקרים מכוונים את מטרתם לדיפלומטים מהאיחוד האירופי באמצעות הזמנות מזויפות לאירוע של יין

האקרים רוסים, שהתחזו כאם הם פקידים של האיחוד האירופי, פתו דיפלומטים עם הזמנות בדויות לטעימת יינות, תוך שהם שלחו את התוכנה הרעילה GRAPELOADER במהלך מסע ריגול מתפתח.

חוקרי האבטחה הסייברית חשפו סדרת התקפות דוגמאות חדשות שביצעה קבוצת הפריצה הרוסית שקשורה ל-APT29, שגם מכונה Cozy Bear. המסע, שהוחזק על ידי Check Point, ממוקד בדיפלומטים אירופאים ומרמה אותם עם הזמנות מזויפות לאירועי טעימת יינות דיפלומטיים.

החקירה גילתה שהמתקיפים התחזו למשרד החוץ של מדינה אירופאית ושלחו לדיפלומטים הזמנות שנראו רשמיות. האימיילים הכילו קישורים ש, כאשר נלחצים עליהם, הובילו להורדת תוכנה זדונית מוסתרת בקובץ בשם wine.zip.

קובץ זה מתקין כלי חדש בשם GRAPELOADER, שמאפשר למתקיפים להשיג מעמד במחשב של הקורבן. GRAPELOADER אוסף מידע על המערכת, מקים "דלת חילופים" לפקודות נוספות, ומוודא שהתוכנה הרעילה נשארת במכשיר אפילו לאחר ניתוק וחיבור מחדש.

"GRAPELOADER משפר את טכניקות הניתוח הנגדיות של WINELOADER, תוך שהיא מציגה שיטות הסוואה מתקדמות יותר", כך רשמו החוקרים. המסע כולל גם גרסה חדשה יותר של WINELOADER, גישה נאחורית שזוהתה בהתקפות APT29 קודמות, וכנראה משמשת בשלבים המאוחרים יותר.

האימיילים שנשלחו בטכניקת הפישינג נשלחו מדומיינים המחקים את מנהיגי המשרדים האמיתיים. אם הקישור באימייל לא הצליח לרמות את המטרה, אימיילים שלאחריו נשלחו בנסיון נוסף. בחלק מהמקרים, לחיצה על הקישור הובילה משתמשים לאתר המשרד האמיתי, כדי למנוע חשד.

תהליך ההדבקה משתמש בקובץ PowerPoint חוקי כדי להריץ קוד מוסתר באמצעות שיטה שנקראת "טעינת צד DLL". התוכנה הרעילה לאחר מכן מעתיקה את עצמה לתיקייה מוסתרת, משנה את הגדרות המערכת כדי להשתלט אוטומטית, ומתחברת לשרת מרוחק כל דקה כדי לחכות להוראות נוספות.

המתקפים הלכו למרחקים רחוקים כדי להישאר מוסתרים. GRAPELOADER משתמשת בטכניקות מורכבות כדי להפריע לקוד שלה, למחוק את העקבות שלה, ולמנוע זיהוי על ידי תוכנת אבטחה. שיטות אלו הופכות את זה לקשה יותר עבור מנתחים לפרק וללמוד את התוכנה הרעילה.

המסע הפרסומתי הזה מראה ש-APT29 ממשיך להתפתח בטקטיקות שלו, משתמש באסטרטגיות יצירתיות ומרמיות כדי לרגל אחרי מטרות ממשלתיות ברחבי אירופה.