Nabici w butelkę wina. Europejscy dyplomaci celem rosyjskiego malware’u
Rosyjska grupa hakerska Cozy Bear ponownie uderza, tym razem podszywając się pod zaproszenia na degustację wina. Atak wymierzony jest w europejskich dyplomatów, a celem kampanii jest zainfekowanie ich komputerów złośliwym oprogramowaniem.
Rosyjska grupa cyberszpiegowska Cozy Bear, znana również jako APT29, powróciła z nową kampanią phishingową. Tym razem hakerzy próbują zainfekować komputery europejskich dyplomatów, wysyłając im spreparowane zaproszenia na ekskluzywne wydarzenie – rzekomą degustację win. Kliknięcie w linka nie kieruje jednak do piwniczki z ekskluzywnymi alkoholami. Zamiast tego na skuszonych tematem czeka infekcja złośliwym oprogramowaniem o nazwie Grapeloader – czyli nową wersją dobrze już znanego Wineloadera.
Fałszywe zaproszenia na degustację wina pułapką hakerów z Rosji
Fałszywe e-maile, stylizowane na oficjalne wiadomości z ministerstwa spraw zagranicznych jednego z europejskich krajów, trafiały do skrzynek dyplomatów na całym kontynencie. Tematy wiadomości brzmiały m.in. "Wine tasting event (update date)", "For Ambassador’s Calendar" czy "Diplomatic dinner", a ich treść zawierała link prowadzący do złośliwego pliku do pobrania. Wedle komentarza, który uzyskał The Register, sprawa jest poważna, a software został solidnie przygotowany.
Serwer hostujący link jest prawdopodobnie silnie zabezpieczony przed analizą automatyczną, a złośliwe pobieranie aktywuje się tylko w określonych warunkach, takich jak konkretna lokalizacja lub pora dnia.
Po kliknięciu linku użytkownicy spełniający określone kryteria atakujących pobierają archiwum wine.zip, zawierające trzy pliki. Jeden z nich to plik PowerPoint (wine.exe), drugi to nieaktywny plik DLL, a trzeci – ppcore.dll – to prawdziwe zagrożenie, czyli tzw. Grapeloader. Program ten infekuje system, modyfikuje rejestr Windows i komunikuje się z serwerem Cozy Bear co 60 sekund.
Nowa wersja Wineloadera, uruchamiana przez Grapeloadera, działa jako 64-bitowy DLL. Pozwala hakerom przechwytywać dane z zainfekowanego urządzenia, szyfrować je i przesyłać do centrum dowodzenia. Dzięki rozbudowanemu kodowi maskującemu i funkcjom czyszczenia pamięci, program skutecznie unika wykrycia.
Cozy Bear nadal aktywne. Grupa celuje w Zachód
Grupa Cozy Bear, działająca pod auspicjami rosyjskiego wywiadu FSB, od lat prowadzi szeroko zakrojone operacje cyberszpiegowskie. Stała m.in. za głośnym atakiem na SolarWinds w 2020 roku, a wcześniej na instytucje rządowe USA – w tym Biały Dom i Departament Stanu. Podczas pandemii grupa wykradała też dane dotyczące szczepionek na COVID-19.
Eksperci sugerują, że nowa kampania phishingowa może być kolejną próbą pozyskiwania wrażliwych danych z państw zachodnich – tym razem pod przykrywką wydarzenia towarzyskiego. Scenariusz ten był już wcześniej skutecznie wykorzystywany przez rosyjskich cyberszpiegów.
Grzegorz Karaś, dziennikarz pcformat.pl
