Rosyjska grupa hakerska Cozy Bear ponownie uderza, tym razem podszywając się pod zaproszenia na degustację wina. Atak wymierzony jest w europejskich dyplomatów, a celem kampanii jest zainfekowanie ich komputerów złośliwym oprogramowaniem.
Rosyjska grupa cyberszpiegowska Cozy Bear, znana również jako APT29, powróciła z nową kampanią phishingową. Tym razem hakerzy próbują zainfekować komputery europejskich dyplomatów, wysyłając im spreparowane zaproszenia na ekskluzywne wydarzenie – rzekomą degustację win. Kliknięcie w linka nie kieruje jednak do piwniczki z ekskluzywnymi alkoholami. Zamiast tego na skuszonych tematem czeka infekcja złośliwym oprogramowaniem o nazwie Grapeloader – czyli nową wersją dobrze już znanego Wineloadera.
Fałszywe e-maile, stylizowane na oficjalne wiadomości z ministerstwa spraw zagranicznych jednego z europejskich krajów, trafiały do skrzynek dyplomatów na całym kontynencie. Tematy wiadomości brzmiały m.in. „Wine tasting event (update date)”, „For Ambassador’s Calendar” czy „Diplomatic dinner”, a ich treść zawierała link prowadzący do złośliwego pliku do pobrania. Wedle komentarza, który uzyskał The Register, sprawa jest poważna, a software został solidnie przygotowany.
Serwer hostujący link jest prawdopodobnie silnie zabezpieczony przed analizą automatyczną, a złośliwe pobieranie aktywuje się tylko w określonych warunkach, takich jak konkretna lokalizacja lub pora dnia.
Zespół analityków Check Point
Po kliknięciu linku użytkownicy spełniający określone kryteria atakujących pobierają archiwum wine.zip, zawierające trzy pliki. Jeden z nich to plik PowerPoint (wine.exe), drugi to nieaktywny plik DLL, a trzeci – ppcore.dll – to prawdziwe zagrożenie, czyli tzw. Grapeloader. Program ten infekuje system, modyfikuje rejestr Windows i komunikuje się z serwerem Cozy Bear co 60 sekund.
Nowa wersja Wineloadera, uruchamiana przez Grapeloadera, działa jako 64-bitowy DLL. Pozwala hakerom przechwytywać dane z zainfekowanego urządzenia, szyfrować je i przesyłać do centrum dowodzenia. Dzięki rozbudowanemu kodowi maskującemu i funkcjom czyszczenia pamięci, program skutecznie unika wykrycia.
Zespół Check Point
Grupa Cozy Bear, działająca pod auspicjami rosyjskiego wywiadu FSB, od lat prowadzi szeroko zakrojone operacje cyberszpiegowskie. Stała m.in. za głośnym atakiem na SolarWinds w 2020 roku, a wcześniej na instytucje rządowe USA – w tym Biały Dom i Departament Stanu. Podczas pandemii grupa wykradała też dane dotyczące szczepionek na COVID-19.
Eksperci sugerują, że nowa kampania phishingowa może być kolejną próbą pozyskiwania wrażliwych danych z państw zachodnich – tym razem pod przykrywką wydarzenia towarzyskiego. Scenariusz ten był już wcześniej skutecznie wykorzystywany przez rosyjskich cyberszpiegów.
0 komentarzy