Image by Monique Carrati, from Unsplash
Hackare Riktar In Sig På EU-Diplomater Med Falska Inbjudningar Till Vin-Event
Lästid: 2 min
Senast uppdaterad: Apr 17, 2025
-
![Kiara Fabbri]()
-
![Lokaliserings- och översättningsteamet]()
Översatt av Lokaliserings- och översättningsteamet Lokaliserings- och översättningstjänster
Ryska hackare utklädda till EU-tjänstemän lockade diplomater med falska vininbjudningar, och använde det diskreta skadliga programmet GRAPELOADER i en ständigt föränderlig spionagekampanj.
Har du bråttom? Här är de snabba fakta:
- APT29 riktar in sig på EU-diplomater med phishing-mejl maskerade som inbjudningar till vinprovningsevent.
- GRAPELOADER använder mer listiga taktiker än tidigare skadlig programvara, inklusive uppgraderingar för att motverka analys.
- Skadlig programvara kör dold kod via DLL sidoladdning i en PowerPoint-fil.
Cybersäkerhetsforskare har upptäckt en ny våg av phishing-attacker utförda av den rysk-kopplade hackargruppen APT29, även känd som Cozy Bear. Kampanjen, markerad av Check Point, riktar sig mot europeiska diplomater genom att lura dem med falska inbjudningar till diplomatiska vinprovningsevenemang.
Undersökningen visade att angriparna utgav sig för att vara ett europeiskt utrikesdepartement och skickade officiellt utseende inbjudningar till diplomater via e-post. E-postmeddelandena innehöll länkar som, när man klickade på dem, ledde till nedladdning av skadlig programvara dold i en fil med namnet wine.zip.
Denna fil installerar ett nytt verktyg som kallas GRAPELOADER, vilket ger angriparna en fotfäste i offrets dator. GRAPELOADER samlar systeminformation, skapar en bakdörr för ytterligare kommandon och säkerställer att den skadliga programvaran stannar kvar på enheten även efter en omstart.
”Forskare har noterat att GRAPELOADER förfinar WINELOADERs tekniker mot analys medan mer avancerade metoder för att undvika detektering introduceras. Kampanjen använder också en nyare version av WINELOADER, en bakdörr som är känd från tidigare APT29-attacker, vilken troligen används i de senare stadierna.
Phishing-emailen skickades från domäner som imiterade riktiga departementsföreträdare. Om länken i e-postmeddelandet inte lyckades lura mottagaren, skickades uppföljande e-postmeddelanden för att försöka igen. I vissa fall omdirigerades användare som klickade på länken till den faktiska departementswebbplatsen för att undvika misstankar.
Infektionsprocessen använder en legitim PowerPoint-fil för att köra dold kod med hjälp av en metod som kallas ”DLL side-loading”. Skadlig programvara kopierar sedan sig själv till en dold mapp, ändrar systeminställningar för att starta automatiskt, och ansluter till en fjärrserver varje minut för att vänta på ytterligare instruktioner.
Angriparna gjorde stora ansträngningar för att förbli dolda. GRAPELOADER använder komplexa tekniker för att röra till sin kod, radera sina spår och undvika upptäckt av säkerhetsprogramvara. Dessa metoder gör det svårare för analytiker att bryta ner och studera den skadliga programvaran.
Denna kampanj visar att APT29 fortsätter att utveckla sina taktiker, genom att använda kreativa och bedrägliga strategier för att spionera på regeringsmål över hela Europa.
Tidigare artikel
Senaste artiklar 
