Image by Monique Carrati, from Unsplash
Hackere Målretter EU-Diplomater Med Falske Vinbegivenhedsinvitationer
Læsetid: 2 Minut
Senest opdateret: Apr 17, 2025
-
![Kiara Fabbri]()
-
![Lokaliserings & Oversættelses Teamet]()
Oversat af Lokaliserings & Oversættelses Teamet Lokaliserings & Oversættelses Tjenester
Russiske hackere, der udgav sig for at være EU-embedsmænd, lokkede diplomater med falske vininvitationer og implementerede skjult malware GRAPELOADER i en udviklende spionagekampagne.
I en fart? Her er de hurtige fakta:
- APT29 angriber EU-diplomater med phishing-mails, der er forklædt som invitationer til vinbegivenheder.
- GRAPELOADER bruger mere snedige taktikker end tidligere malware, herunder opgraderinger mod analyse.
- Malware udfører skjult kode via DLL side-loading i en PowerPoint-fil.
Cybersikkerhedsforskere har afdækket en ny bølge af phishing-angreb udført af den russisk-forbundne hackergruppe APT29, også kendt som Cozy Bear. Kampagnen, der er markeret af Check Point, retter sig mod europæiske diplomater ved at narre dem med falske invitationer til diplomatiske vinsmagningsevents.
Undersøgelsen fandt ud af, at angriberne udgav sig for at være et europæisk udenrigsministerium og sendte diplomater invitationer, der så officielle ud. E-mails indeholdt links, som, når de blev klikket på, førte til download af malware skjult i en fil med navnet wine.zip.
Denne fil installerer et nyt værktøj kaldet GRAPELOADER, som giver angriberne mulighed for at få fodfæste i offerets computer. GRAPELOADER indsamler systeminformation, etablerer en bagdør til yderligere kommandoer og sikrer, at malwaren forbliver på enheden, selv efter en genstart.
“GRAPELOADER finjusterer WINELOADER’s anti-analyse teknikker og introducerer samtidig mere avancerede stealth metoder,” bemærkede forskerne. Kampagnen bruger også en nyere version af WINELOADER, en bagdør kendt fra tidligere APT29 angreb, som sandsynligvis bruges i de senere stadier.
Phishing emails blev sendt fra domæner, der efterlignede ægte ministerielle embedsmænd. Hvis linket i emailen ikke formåede at narre målet, blev opfølgende emails sendt for at prøve igen. I nogle tilfælde omdirigerede et klik på linket brugerne til det faktiske ministeriets hjemmeside for at undgå mistanke.
Infektionsprocessen bruger en legitim PowerPoint-fil til at køre skjult kode ved hjælp af en metode kaldet “DLL side-loading.” Malwaren kopierer derefter sig selv til en skjult mappe, ændrer systemindstillinger for at starte automatisk, og opretter forbindelse til en fjernserver hvert minut for at vente på yderligere instruktioner.
Angriberne gik til store længder for at forblive skjulte. GRAPELOADER bruger komplekse teknikker til at forvirre sin kode, slette sine spor og undgå at blive opdaget af sikkerhedssoftware. Disse metoder gør det sværere for analytikere at nedbryde og studere malwaren.
Denne kampagne viser, at APT29 fortsat udvikler sine taktikker, ved at bruge kreative og vildledende strategier til at spionere på regeringsmål i hele Europa.
Tidligere Historie
Seneste artikler 
