Európai diplomaták célpontban
A Check Point Research jelentése szerint az APT29 (Midnight Blizzard vagy Cozy Bear) új adathalász kampányt indított, amely európai diplomatákat céloz meg. A támadók egy európai külügyminisztérium nevében küldenek meghívókat borászati eseményekre, amelyekben rosszindulatú linkek találhatók.Ezek a linkek a GRAPELOADER nevű új kártevőt telepítik, amely a fertőzés kezdeti szakaszában játszik szerepet.
A GRAPELOADER egy DLL fájl, amelyet a támadók DLL oldalsó betöltéssel juttatnak be a rendszerbe egy legitim PowerPoint végrehajtható fájl segítségével. A kártevő célja a fertőzött rendszer ujjlenyomatának begyűjtése, állandóság elérése a Windows rendszerleíró adatbázisának módosításával, valamint a következő szakaszban használt WINELOADER nevű hátsó ajtó telepítése. A GRAPELOADER fejlett rejtőzködési technikákat alkalmaz, például karakterláncok obfuszkációját és dinamikus API-hívásokat, hogy elkerülje a biztonsági megoldások észlelését.
A WINELOADER egy moduláris hátsó ajtó, amelyet az APT29 korábbi kampányaiban is használtak. Az új változat továbbfejlesztett rejtőzködési technikákkal rendelkezik, beleértve a karakterláncok azonnali törlését a memóriából és a kód struktúrájának obfuszkációját. A WINELOADER a GRAPELOADER által begyűjtött információk alapján kerül telepítésre, és lehetővé teszi a támadók számára a fertőzött rendszer távoli irányítását.
A kampány során a támadók különböző európai országok külügyminisztériumait és más országok európai nagykövetségeit célozzák meg. A rosszindulatú e-mailek legalább két különböző domainről érkeznek: bakenhof[.]com és silry[.]com, és a feladó címe egy konkrét személyt imitál a megszemélyesített külügyminisztériumból. Az e-mailek tárgya gyakran borászati eseményekre utal, például Wine Event vagy Diplomatic dinner.
A GRAPELOADER és a WINELOADER közötti hasonlóságok, például a kód struktúrája és a karakterláncok obfuszkációja, arra utalnak, hogy a két kártevőt ugyanaz a fejlesztőcsoport hozta létre. A kampány során alkalmazott technikák, taktikák és eljárások (TTP-k) megegyeznek az APT29 korábbi tevékenységeivel, beleértve a DLL oldalsó betöltést, a rendszerleíró adatbázis módosítását az állandóság eléréséhez, valamint a fejlett rejtőzködési technikák alkalmazását.
