Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT29: Новая угроза для европейской дипломатии с GRAPELOADER

2 мин
По данным Check Point Research, хакерская группа APT29, связанная с Россией, продолжает свои атаки на дипломатические учреждения по всей Европе. Последняя кампания отметилась использованием нового вредоносного ПО GRAPELOADER, которое было внедрено через фишинговые электронные письма, маскирующиеся под сообщения от крупнейших европейских министерств иностранных дел. Фишинговые письма заманивали получателей поддельными приглашениями на дегустацию вин и содержали вредоносные ссылки. При переходе по этим ссылкам происходила загрузка файла wine.zip, что инициировало развертывание GRAPELOADER.
Основные функции GRAPELOADER включают: По структуре и методам кодирования GRAPELOADER демонстрирует сходство с ранее идентифицированным WINELOADER, но с добавлением расширенных возможностей антианализа и улучшенной скрытности. Оба инструмента имеют модульную структуру, при этом WINELOADER функционирует как более сложный бэкдор. Исследователи обнаружили, что: Также стоит отметить, что вредоносная поле
Оглавление

По данным Check Point Research, хакерская группа APT29, связанная с Россией, продолжает свои атаки на дипломатические учреждения по всей Европе. Последняя кампания отметилась использованием нового вредоносного ПО GRAPELOADER, которое было внедрено через фишинговые электронные письма, маскирующиеся под сообщения от крупнейших европейских министерств иностранных дел.

Методы атаки

Фишинговые письма заманивали получателей поддельными приглашениями на дегустацию вин и содержали вредоносные ссылки. При переходе по этим ссылкам происходила загрузка файла wine.zip, что инициировало развертывание GRAPELOADER.
Основные функции GRAPELOADER включают:

  • Снятие отпечатков пальцев с хоста;
  • Обеспечение постоянства через изменение реестра Windows;
  • Сбор конфиденциальной информации, такой как имена хостов и пользователей.

Сравнение с WINELOADER

По структуре и методам кодирования GRAPELOADER демонстрирует сходство с ранее идентифицированным WINELOADER, но с добавлением расширенных возможностей антианализа и улучшенной скрытности. Оба инструмента имеют модульную структуру, при этом WINELOADER функционирует как более сложный бэкдор.

Техника и механизмы

Исследователи обнаружили, что:

  • GRAPELOADER заменяет ранее использованный компонент ROOTSAW;
  • Используемая библиотека ppcore.dll является новым механизмом выполнения, улучшая защиту от систем обнаружения;
  • Код WINELOADER (vmtools.dll) имеет сложную структуру с множеством нефункциональных функций, что затрудняет его идентификацию.

Также стоит отметить, что вредоносная полезная нагрузка скрыта и остается в памяти устройства, что усложняет традиционные методы сканирования.

Выводы

Стратегия атаки хакерской группы APT29 четко демонстрирует эволюцию их методов, адаптацию к новым условиям, несмотря на использование привычных тактик фишинга и дополнительных загрузок библиотек DLL.
«Постоянное использование обмана для маскировки злонамеренных намерений представляет собой серьезный риск для дипломатических учреждений», — отмечают эксперты.

Продолжающееся развитие WINELOADER подчеркивает необходимость повышенной бдительности в практике кибербезопасности, поскольку угрозы продолжают эволюционировать.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT29: Новая угроза для европейской дипломатии с GRAPELOADER".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.