Новая кибероперация, направленная на дипломатические структуры в Европе, привлекла внимание специалистов в области информационной безопасности. Эксперты из Check Point Research сообщили о попытках компрометации иностранных посольств с помощью свежего вредоносного инструмента, названного GrapeLoader. По их информации, за атаками стоит предполагаемо российская группировка Midnight Blizzard, которую на Западе часто ассоциируют с деятельностью внешней разведки.
Midnight Blizzard, также известная как «Cozy Bear» и «APT29», давно фигурирует в материалах по кибершпионажу. Её деятельность связывают с рядом громких операций против государственных структур и международных организаций. Эксперты подчёркивают, что группа действует при поддержке государства, что подтверждают её цели и методы.
Текущая кампания началась в начале 2025 года. Фишинговые письма были разосланы от имени несуществующих адресов, таких как «bakenhof[.]com» и «silry[.]com». Получатели приглашались якобы на мероприятие, связанное с дегустацией вин. В теле письма содержалась вредоносная гиперссылка. В случае, если система жертвы соответствовала заданным критериям, происходила загрузка архива wine.zip. Если же нет — пользователя перенаправляли на настоящий сайт европейского дипломатического ведомства.
Архив включал в себя легитимный PowerPoint-файл (wine.exe), одну из системных библиотек Windows, а также вредоносный компонент ppcore.dll — и именно он представляет собой GrapeLoader. Этот загрузчик начинает действовать после активации DLL: собирает информацию о системе, закрепляется в операционной системе через изменения в реестре и выходит на связь с удалённым сервером, откуда получает шелл-код для выполнения в памяти.
Аналитики предполагают, что GrapeLoader может заменить ранее использовавшийся загрузчик RootSaw, который применялся на начальной стадии атак. Новый инструмент, по оценке специалистов, более скрытен и технологически продвинут. Иван Иванов из Check Point Research отметил, что код GrapeLoader использует защиту памяти типа PAGE_NOACCESS и вводит задержку в 10 секунд перед запуском шелл-кода. Это затрудняет обнаружение его активности антивирусными продуктами и системами мониторинга поведения программ.
Одной из целей GrapeLoader в описанной операции стала скрытая доставка ещё одного вредоносного модуля — WineLoader. Он был замаскирован под один из системных компонентов VMware Tools. Таким образом, вредоносный код распространялся под видом стандартного программного обеспечения, что снижало вероятность настороженности у пользователей и систем защиты.
Оригинал публикации на сайте CISOCLUB: "Диппредставительства в Европе оказались под фишинговыми атаками — подозревают русских хакеров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.