Οι Χάκερς στοχεύουν Διπλωμάτες της ΕΕ με Ψεύτικες Προσκλήσεις σε Εκδήλωση Οίνου

Ρώσοι χάκερς που παριστάνουν τους επίσημους της ΕΕ, παγίδευσαν διπλωμάτες με ψεύτικες προσκλήσεις για κρασί, εγκαθιστώντας την κρυφή κακόβουλη λογισμική GRAPELOADER σε μια εξελισσόμενη καμπάνια κατασκοπείας.

Ερευνητές κυβερνοασφάλειας έχουν αποκαλύψει μια νέα κύματος επιθέσεων phishing που διεξάγονται από την ρωσικής προέλευσης ομάδα χάκερ APT29, επίσης γνωστή ως Cozy Bear. Η καμπάνια, που εντοπίστηκε από την Check Point, στοχεύει ευρωπαίους διπλωμάτες παραπλανώντας τους με ψεύτικες προσκλήσεις σε διπλωματικές εκδηλώσεις γευσιγνωσίας κρασιού.

Η έρευνα αποκάλυψε ότι οι επιτιθέμενοι παριστάνονταν ως Ευρωπαϊκό Υπουργείο Εξωτερικών και έστειλαν στους διπλωμάτες προσκλήσεις που φαινόταν επίσημες. Τα emails περιείχαν συνδέσμους που, όταν κάνατε κλικ, οδηγούσαν στη λήψη κακόβουλου λογισμικού κρυμμένου σε ένα αρχείο με το όνομα wine.zip.

Αυτό το αρχείο εγκαθιστά ένα νέο εργαλείο με το όνομα GRAPELOADER, το οποίο επιτρέπει στους επιτιθέμενους να αποκτήσουν ένα πόδι στον υπολογιστή του θύματος. Το GRAPELOADER συλλέγει πληροφορίες του συστήματος, δημιουργεί μια πίσω πόρτα για περαιτέρω εντολές, και εξασφαλίζει ότι το κακόβουλο λογισμικό παραμένει στη συσκευή ακόμη και μετά από επανεκκίνηση.

«Το GRAPELOADER βελτιώνει τις τεχνικές αντι-ανάλυσης του WINELOADER ενώ εισάγει πιο προηγμένες μεθόδους κρυψίνης», σημείωσαν οι ερευνητές. Η εκστρατεία χρησιμοποιεί επίσης μια νεότερη έκδοση του WINELOADER, μια παρασκηνιακή πόρτα γνωστή από προηγούμενες επιθέσεις APT29, που πιθανότατα χρησιμοποιείται στις τελικές φάσεις.

Τα φισινγκ emails στάλθηκαν από τομείς που παριστάνουν πραγματικούς υπαλλήλους υπουργείων. Εάν ο σύνδεσμος στο email δεν κατάφερε να ξεγελάσει τον στόχο, ακολουθούσαν επιπλέον emails για νέα προσπάθεια. Σε κάποιες περιπτώσεις, κάνοντας κλικ στον σύνδεσμο, οι χρήστες ανακατευθύνονταν στην πραγματική ιστοσελίδα του Υπουργείου για να αποφευχθεί οποιαδήποτε υποψία.

Η διαδικασία μόλυνσης χρησιμοποιεί ένα νόμιμο αρχείο PowerPoint για να εκτελέσει κρυφό κώδικα με τη χρήση ενός μεθόδου που ονομάζεται «DLL side-loading». Μετά, το κακόβουλο λογισμικό αντιγράφει τον εαυτό του σε έναν κρυφό φάκελο, αλλάζει τις ρυθμίσεις του συστήματος για να εκκινεί αυτόματα και συνδέεται με έναν απομακρυσμένο διακομιστή κάθε λεπτό περιμένοντας για περαιτέρω οδηγίες.

Οι επιτιθέμενοι κατέβαλαν μεγάλες προσπάθειες για να παραμείνουν κρυφοί. Το GRAPELOADER χρησιμοποιεί περίπλοκες τεχνικές για να ανακατεύει τον κώδικά του, να διαγράφει τα ίχνη του και να αποφεύγει την ανίχνευση από το λογισμικό ασφαλείας. Αυτές οι μέθοδοι καθιστούν δυσκολότερη την ανάλυση και την μελέτη του κακόβουλου λογισμικού από τους αναλυτές.

Αυτή η εκστρατεία δείχνει ότι η APT29 συνεχίζει να εξελίσσει τις τακτικές της, χρησιμοποιώντας δημιουργικές και παραπλανητικές στρατηγικές για να κατασκοπεύει κυβερνητικούς στόχους σε όλη την Ευρώπη.