Image by Monique Carrati, from Unsplash
Hackeři cílí na diplomaty EU s falešnými pozvánkami na vinnou akci
Doba čtení: 2 minut
Naposledy aktualizováno: Apr 17, 2025
-
![Kiara Fabbri]()
-
![Lokalizační a překladatelský tým]()
Překladatel Lokalizační a překladatelský tým Lokalizační a překladatelské služby
Ruští hackeři, vydávající se za úředníky EU, nalákali diplomaty falešnými pozvánkami na degustaci vín a v rámci se vyvíjející špionážní kampaně nasadili nenápadný škodlivý software GRAPELOADER.
Máte naspěch? Zde jsou klíčové informace:
- APT29 cílí na diplomaty EU pomocí phishingových e-mailů, které jsou maskovány jako pozvánky na vinnou akci.
- GRAPELOADER používá utajenější taktiky než předchozí malware, včetně vylepšení proti analýze.
- Malware spouští skrytý kód prostřednictvím načítání DLL v souboru PowerPoint.
Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou vlnu phishingových útoků, které provádí s Ruskem spojená hackerská skupina APT29, známá také jako Cozy Bear. Tuto kampaň, na kterou upozornila společnost Check Point, zaměřuje na evropské diplomaty, které láká falešnými pozvánkami na diplomatické degustace vín.
Vyšetřování zjistilo, že útočníci se vydávali za evropské ministerstvo zahraničních věcí a rozesílali diplomatům pozvánky, které vypadaly oficiálně. E-maily obsahovaly odkazy, které po kliknutí vedly ke stažení malwaru skrytého v souboru s názvem wine.zip.
Tento soubor nainstaluje nový nástroj s názvem GRAPELOADER, který umožňuje útočníkům získat oporu v počítači oběti. GRAPELOADER shromažďuje informace o systému, zřizuje zadní vrátka pro další příkazy a zajišťuje, že malware zůstane na zařízení i po restartu.
„GRAPELOADER vylepšuje anti-analytické techniky WINELOADERa a zavádí pokročilejší metody skrývání,“ poznamenali výzkumníci. Kampaň také využívá novější verzi WINELOADERa, backdoor známý z předchozích útoků APT29, který je pravděpodobně použit v pozdějších fázích.
Phishingové e-maily byly odeslány z domén, které napodobovaly skutečné úředníky ministerstva. Pokud odkaz v e-mailu nezvedl cílovou osobu, byly odeslány následující e-maily, aby to zkusily znovu. V některých případech přesměrovalo kliknutí na odkaz uživatele na skutečné webové stránky ministerstva, aby se vyhnulo podezření.
Infekční proces využívá legitimní PowerPointový soubor k spuštění skrytého kódu pomocí metody nazývané „DLL side-loading“. Malware se poté zkopíruje do skryté složky, změní systémová nastavení tak, aby se automaticky spouštěl a každou minutu se připojuje k vzdálenému serveru, kde čeká na další pokyny.
Útočníci vynaložili velké úsilí na to, aby zůstali skryti. GRAPELOADER používá složité techniky pro zamaskování svého kódu, vymazání svých stop a vyhnutí se detekci bezpečnostním softwarům. Tyto metody komplikují analytikům rozebrání a studium malware.
Tato kampaň ukazuje, že APT29 neustále vyvíjí své taktiky, využívá kreativní a zavádějící strategie k špehování vládních cílů po celé Evropě.
Předchozí článek
Nejnovější články 
