Image by Monique Carrati, from Unsplash
Hakeri ciljaju na EU diplomate s lažnim pozivnicama za događaj o vinu
Vrijeme čitanja: 2 minuta
Ažurirano: Apr 17, 2025
-
![Kiara Fabbri]()
-
![Tim za lokalizaciju i prevođenje]()
Preveo Tim za lokalizaciju i prevođenje Usluge lokalizacije i prevođenja
Ruski hakeri, koji su se pretvarali da su dužnosnici EU, mamili su diplomate lažnim pozivnicama za degustaciju vina, koristeći se prikrivenim zlonamjernim softverom GRAPELOADER u okviru sveobuhvatne špijunske kampanje.
U žurbi ste? Evo kratkih činjenica:
- APT29 cilja na EU diplomate phishing e-mailovima prerušenim kao pozivnice za događanje s vinom.
- GRAPELOADER koristi taktike prikrivenije od prethodnih zlonamjernih softvera, uključujući nadogradnje protiv analize.
- Zlonamjerni softver izvršava skriveni kod putem DLL stranačkog učitavanja u PowerPoint datoteci.
Istraživači iz područja kibernetičke sigurnosti otkrili su novi val phishing napada koje provodi ruska hakerska skupina APT29, poznata i kao Cozy Bear. Kampanju, koju je signalizirao Check Point, cilja na europske diplomate varajući ih lažnim pozivima na diplomatske degustacije vina.
Istraga je otkrila da su napadači postupili kao europsko Ministarstvo vanjskih poslova i poslali diplomatima pozivnice koje su izgledale službeno. E-mailovi su sadržavali linkove koji, kad bi se kliknuli, vodili do preuzimanja zlonamjernog softvera skrivenog u datoteci pod nazivom wine.zip.
Ova datoteka instalira novi alat pod nazivom GRAPELOADER, koji napadačima omogućuje da dobiju uporište na računalu žrtve. GRAPELOADER prikuplja informacije o sustavu, uspostavlja stražnji ulaz za daljnje naredbe i osigurava da zlonamjerni softver ostane na uređaju čak i nakon ponovnog pokretanja.
“GRAPELOADER uspinjava anti-analitičke tehnike WINELOADER-a dok uvodi naprednije metode prikrivanja”, istaknuli su istraživači. Kampanja također koristi noviju verziju WINELOADER-a, poznatog backdoor-a iz prethodnih napada APT29, koji se vjerojatno koristi u kasnijim fazama.
Phishing e-mailovi poslani su s domena koji su oponašali stvarne dužnosnike ministarstva. Ako poveznica u e-mailu nije uspjela prevariti cilj, poslani su dodatni e-mailovi da bi se ponovno pokušalo. U nekim slučajevima, klikom na poveznicu korisnici su preusmjereni na stvarnu web stranicu Ministarstva kako bi se izbjegla sumnja.
Proces infekcije koristi legitimnu PowerPoint datoteku kako bi pokrenuo skriveni kod koristeći metodu nazvanu “DLL side-loading”. Zatim se zlonamjerni softver kopira u skriveni direktorij, mijenja postavke sustava kako bi se automatski pokretao i svake minute se povezuje na udaljeni server kako bi čekao daljnje upute.
Napadači su uložili velike napore kako bi ostali skriveni. GRAPELOADER koristi složene tehnike za zamagljivanje svog koda, brisanje svojih tragova i izbjegavanje detekcije od strane sigurnosnog softvera. Ove metode otežavaju analitičarima razbijanje i proučavanje zlonamjernog softvera.
Ova kampanja pokazuje da APT29 i dalje razvija svoje taktike, koristeći kreativne i obmanjujuće strategije kako bi špijunirao vladine ciljeve diljem Europe.
Najnoviji članci 
Ostavite komentar
Otkaži