Kẻ Hack Tấn Công Ngoại Giao Viên EU Bằng Lời Mời Giả Mạo Đến Sự Kiện Rượu Vang

Các hacker Nga giả mạo là các quan chức EU đã dụ dỗ các nhà ngoại giao bằng lời mời rượu vang giả mạo, triển khai phần mềm độc tàng hình GRAPELOADER trong một chiến dịch do thám đang tiến triển.

Các nhà nghiên cứu về an ninh mạng đã phát hiện ra một làn sóng mới của những cuộc tấn công lừa đảo qua email do nhóm hacker có liên kết với Nga APT29, còn được biết đến với tên Cozy Bear, thực hiện. Chiến dịch này, được Check Point đánh dấu, nhắm vào các nhà ngoại giao Châu Âu bằng cách lừa dối họ với những lời mời giả mạo đến các sự kiện thưởng thức rượu vang ngoại giao.

Cuộc điều tra đã phát hiện ra rằng những kẻ tấn công đã giả dạng Bộ Ngoại giao của một quốc gia châu Âu và gửi cho các nhà ngoại giao những lời mời mà trông có vẻ chính thức qua email. Các email này chứa những liên kết mà khi được nhấp vào, sẽ dẫn đến việc tải xuống phần mềm độc ẩn trong một tệp có tên là wine.zip.

Tệp này cài đặt một công cụ mới có tên GRAPELOADER, cho phép những kẻ tấn công có thể tiếp cận với máy tính của nạn nhân. GRAPELOADER thu thập thông tin hệ thống, thiết lập một lối vào hậu cửa để thực hiện thêm các lệnh, và đảm bảo phần mềm độc vẫn còn trên thiết bị ngay cả sau khi khởi động lại.

“GRAPELOADER tinh chỉnh các kỹ thuật chống phân tích của WINELOADER trong khi giới thiệu thêm nhiều phương pháp ẩn dấu tiên tiến hơn,” các nhà nghiên cứu ghi chú. Chiến dịch cũng sử dụng một phiên bản mới hơn của WINELOADER, một backdoor được biết đến từ những cuộc tấn công APT29 trước đây, có khả năng được sử dụng trong các giai đoạn sau.

Các email lừa đảo đã được gửi từ các tên miền giả mạo các quan chức bộ thật. Nếu liên kết trong email không thể lừa dối được mục tiêu, những email theo dõi sẽ được gửi để thử lại. Trong một số trường hợp, việc nhấp vào liên kết đã đưa người dùng đến trang web Bộ thật để tránh sự nghi ngờ.

Quá trình lây nhiễm sử dụng một tệp PowerPoint hợp lệ để chạy mã ẩn bằng một phương pháp được gọi là “tải bên DLL”. Sau đó, phần mềm độc tự sao chép mình vào một thư mục ẩn, thay đổi cài đặt hệ thống để tự động khởi chạy, và kết nối với một máy chủ từ xa mỗi phút để chờ đợi hướng dẫn tiếp theo.

Kẻ tấn công đã dành nhiều công sức để giữ cho mình ẩn khuất. GRAPELOADER sử dụng các kỹ thuật phức tạp để làm rối mã của nó, xóa dấu vết của nó, và tránh bị phát hiện bởi phần mềm bảo mật. Những phương pháp này khiến cho việc phân tích và nghiên cứu phần mềm độc trở nên khó khăn hơn.

Chiến dịch này cho thấy APT29 vẫn tiếp tục phát triển các chiến thuật của mình, sử dụng những chiến lược sáng tạo và lừa dối để do thám các mục tiêu chính phủ trên khắp châu Âu.