Image by Monique Carrati, from Unsplash
Hackerii își îndreaptă atenția către diplomații UE cu invitații false la evenimente de degustare de vin
Timp de citire: 3 min
Ultima actualizare: Apr 17, 2025
-
![Kiara Fabbri]()
-
![Echipa de traducere și localizare]()
Tradus de Echipa de traducere și localizare Servicii de traducere și localizare
Hackeri ruși, deghizați în oficiali ai UE, au atras diplomații cu invitații false la degustări de vin, folosind malware-ul ascuns GRAPELOADER într-o campanie de spionaj în plină evoluție.
Te grăbești? Iată faptele esențiale:
- APT29 își ia în vizor diplomații UE cu emailuri de phishing deghizate în invitații la evenimente vinicole.
- GRAPELOADER folosește tactici mai subtile decât malware-ul anterior, inclusiv upgrade-uri anti-analiză.
- Malware-ul execută coduri ascunse prin încărcarea laterală a DLL-ului într-un fișier PowerPoint.
Cercetătorii în securitate cibernetică au descoperit un nou val de atacuri de tip phishing realizate de grupul de hackeri legat de Rusia, APT29, cunoscut și sub numele de Cozy Bear. Campania, semnalată de Check Point, vizează diplomații europeni, înșelându-i cu invitații false la evenimente de degustare de vinuri diplomatice.
Ancheta a descoperit că atacatorii s-au dat drept un Minister al Afacerilor Externe European și au trimis diplomaților invitații care păreau oficiale. E-mailurile conțineau link-uri care, odată accesate, duceau la descărcarea unui malware ascuns într-un fișier numit wine.zip.
Acest fișier instalează un nou instrument numit GRAPELOADER, care permite atacatorilor să câștige un punct de sprijin în computerul victimei. GRAPELOADER colectează informații despre sistem, stabilește o portiță pentru comenzi ulterioare și asigură că malware-ul rămâne pe dispozitiv chiar și după o repornire.
„GRAPELOADER rafinează tehnicile anti-analiză ale WINELOADER, introducând în același timp metode de furtivitate mai avansate,” au observat cercetătorii. Campania utilizează de asemenea o versiune mai nouă a WINELOADER, un backdoor cunoscut din atacurile anterioare APT29, care este probabil utilizat în etapele ulterioare.
Emailurile de phishing au fost trimise de pe domenii care imitau oficiali reali ai ministerului. Dacă linkul din email nu a reușit să păcălească ținta, emailuri de urmărire au fost trimise pentru a încerca din nou. În unele cazuri, prin clic pe link, utilizatorii erau redirecționați către site-ul web oficial al Ministerului pentru a evita suspiciuni.
Procesul de infectare utilizează un fișier PowerPoint legitim pentru a rula cod ascuns, folosind o metodă numită „încărcare laterală DLL”. Apoi, malware-ul se copiază într-un dosar ascuns, schimbă setările de sistem pentru a se lansa automat și se conectează la un server la distanță la fiecare minut pentru a aștepta instrucțiuni suplimentare.
Atacatorii au făcut eforturi considerabile pentru a rămâne ascunși. GRAPELOADER utilizează tehnici complexe pentru a încurca codul său, a șterge urmele și a evita detectarea de către software-ul de securitate. Aceste metode îl fac mai greu de analizat și studiat de către specialiști în ceea ce privește malware-ul.
Această campanie demonstrează că APT29 continuă să își evolueze tactica, folosind strategii creative și înșelătoare pentru a spiona ținte guvernamentale din întreaga Europă.
Știrea anterioară
Ultimele articole 
