APT29 запускает фишинговую атаку на европейские дипломаты
Связанная с Россией хакерская группа APT29, известная своими атаками на высокопоставленные организации, включая правительственные учреждения, запустила сложную фишинговую кампанию, нацеленную на европейские дипломатические объекты. В ходе этой операции используются искусно созданные электронные письма, выдающие себя за официальные сообщения от крупных европейских министерств иностранных дел, которые приглашают получателей на фальшивые дегустации вин.
Технологии атак
Кампании связаны с внедрением GRAPELOADER, недавно представленного вредоносного ПО, которое инициализирует процесс заражения. GRAPELOADER активно функционирует, используя законный исполняемый файл PowerPoint с именем wine.exe. При запуске он взаимодействует с загруженной библиотекой DLL, в частности AppvIsvSubsystems64.dll, которая служит необходимой зависимостью для его работы.
Заражение и сбор данных
Вредоносный компонент ppcore.dll обеспечивает выполнение функций GRAPELOADER. После активации вредоносного ПО:
- Меняется реестр Windows для обеспечения сохраняемости, что гарантирует запуск wine.exe при каждой перезагрузке системы.
- Собирается основная информация о хосте, включая имя хоста и логин пользователя.
- Собранная информация передается на сервер управления (C2) через HTTPS с использованием специальной строки User-Agent для маскировки вредоносной активности.
Методы фишинга
Фишинговые электронные письма были отправлены с двух разных доменов и стратегически обработаны с использованием вредоносных ссылок. Эти ссылки:
- Либо загружают архив wine.zip, что ведет к развертыванию GRAPELOADER,
- Либо перенаправляют ничего не подозревающих пользователей на официальный веб-сайт министерства, выдающего себя за таковое.
В результате изощренного действия хакеры внедрили несколько волн рассылки электронных писем, чтобы увеличить шансы на вовлечение жертвы.
Новый вариант WINELOADER
Наряду с GRAPELOADER в этой кампании появился новый вариант ранее разработанного бэкдора WINELOADER. Этот вариант полностью повторяет своего предшественника по исполнению и методологии, сохраняя основные функциональные возможности и улучшая скрытность. Он предназначен для более поздних стадий атаки и также собирает информацию о хосте, аналогичную GRAPELOADER.
Примечательно, что в новом варианте WINELOADER используются передовые методы антианализа, такие как:
- Мутация кода,
- Вставка нежелательных инструкций.
Эти методы значительно усложняют обнаружение вредоносного ПО. Как GRAPELOADER, так и WINELOADER имеют схожие характеристики, включая:
- Схожие структуры кода,
- Механизмы обфускации.
Выводы
Полученные данные свидетельствуют о том, что по мере расширения возможностей злоумышленники внедряют все более изощренные методы, включая использование RC4 для процессов шифрования и дешифрования. Это привело к использованию скрытого метода работы, при котором вредоносное ПО оставляет минимум следов, а GRAPELOADER облегчает последующее развертывание WINELOADER.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
