Hackere Målretter EU-Diplomater Med Falske Invitasjoner til Vinarrangement

Image by Monique Carrati, from Unsplash

Hackere Målretter EU-Diplomater Med Falske Invitasjoner til Vinarrangement

Lesetid: 2 min.

Sist Oppdatert: Apr 17, 2025

Russiske hackere utkledd som EU-tjenestemenn lokket diplomater med falske vinkvelder, ved å utplassere den skjulte skadevaren GRAPELOADER i en stadig utviklende spionasjekampanje.

Har du det travelt? Her er de viktigste faktaene:

  • APT29 angriper EU-diplomater med phishing-e-poster forkledd som invitasjoner til vinsmaking.
  • GRAPELOADER bruker mer skjulte taktikker enn tidligere skadevare, inkludert oppgraderinger mot analyse.
  • Skadevare utfører skjult kode via DLL side-loading i en PowerPoint-fil.

Cybersikkerhetsforskere har avdekket en ny bølge av phishing-angrep utført av den russisk-forbundne hackergruppen APT29, også kjent som Cozy Bear. Kampanjen, som ble flagget av Check Point, retter seg mot europeiske diplomater ved å lure dem med falske invitasjoner til diplomatiske vinsmakingseventer.

Undersøkelsen fant at angriperne utga seg for å være et europeisk utenriksdepartement og sendte diplomater invitasjoner som så offisielle ut. E-postene inneholdt lenker som, når de ble klikket på, førte til nedlasting av skadelig programvare skjult i en fil kalt wine.zip.

Denne filen installerer et nytt verktøy som heter GRAPELOADER, som gir angriperne fotfeste på offerets datamaskin. GRAPELOADER samler inn systeminformasjon, etablerer en bakdør for ytterligere kommandoer, og sørger for at skadelig programvare blir værende på enheten selv etter en omstart.

«GRAPELOADER forfiner WINELOADERs anti-analyseteknikker samtidig som den introduserer mer avanserte skjulte metoder,» bemerket forskerne. Kampanjen bruker også en nyere versjon av WINELOADER, en bakdør kjent fra tidligere APT29-angrep, som trolig brukes i de senere stadiene.

Phishing-e-postene ble sendt fra domener som utgav seg for å være ekte departementsoffiserer. Hvis lenken i e-posten ikke klarte å lure målet, ble oppfølgingse-poster sendt for å prøve igjen. I noen tilfeller ble brukerne omdirigert til det faktiske departementsnettstedet for å unngå mistanke når de klikket på lenken.

Infeksjonsprosessen bruker en legitim PowerPoint-fil til å kjøre skjult kode ved bruk av en metode kalt «DLL side-loading». Skadevaren kopierer deretter seg selv til en skjult mappe, endrer systeminnstillinger for å starte automatisk, og kobler seg til en fjernserver hvert minutt for å vente på videre instruksjoner.

Angriperne gikk til store lengder for å forbli skjult. GRAPELOADER bruker komplekse teknikker for å forvirre koden sin, slette spor, og unngå deteksjon av sikkerhetsprogramvare. Disse metodene gjør det vanskeligere for analytikere å bryte ned og studere skadevaren.

Denne kampanjen viser at APT29 fortsetter å utvikle taktikkene sine, ved å bruke kreative og bedragerske strategier for å spionere på regjeringsmål over hele Europa.

Likte du denne artikkelen? Like den!
Jeg misikte den sterkt Jeg likte den ikke Den var helt grei Den var bra! Den var kjempebra! Elsket den!

Vi er veldig gade for at du satte pris på arbeidet vårt!

Som en leser vi verdsetter høyt, har du mulighet til å gi oss en anmeldelse på Trustpilot? Det tar bare et øyeblikk og betyr utrolig mye. Tusen hjertelig takk!

Gi oss en vurdering på Trustpilot
0 Stem på av 0
Tittel
Kommentar
Tusen takk for tilbakemeldingen