
Image by Monique Carrati, from Unsplash
هاكرز يستهدفون دبلوماسيين من الاتحاد الأوروبي بدعوات وهمية لحفلات تذوق النبيذ
قام هاكرز روس بالتظاهر بأنهم مسؤولون في الاتحاد الأوروبي وجذبوا الدبلوماسيين بدعوات نبيذ مزيفة، مستخدمين برنامج الفيروسات المتطور والخفي GRAPELOADER في حملة التجسس المتطورة.
هل أنت في عجلة من أمرك؟ إليك الحقائق السريعة:
- تستهدف APT29 دبلوماسيين من الاتحاد الأوروبي برسائل البريد الإلكتروني الاحتيالية المتنكرة على أنها دعوات لحدث تذوق النبيذ.
- يستخدم GRAPELOADER تكتيكات أكثر خفية من البرمجيات الخبيثة السابقة، بما في ذلك ترقيات مكافحة التحليل.
- تنفذ البرمجيات الخبيثة الشفرات المخفية عبر تحميل DLL جانبي في ملف PowerPoint.
اكتشف الباحثون في مجال الأمن السيبراني موجة جديدة من هجمات التصيد الإلكتروني التي ينفذها الفريق الروسي المرتبط بالقرصنة والمعروف باسم APT29، أو Cozy Bear. تستهدف الحملة، التي أشار إليها Check Point، الدبلوماسيين الأوروبيين بخداعهم بدعوات وهمية لحضور أحداث تذوق النبيذ الدبلوماسية.
أظهرت التحقيقات أن المهاجمين تنكروا على أنهم من وزارة خارجية أوروبية وأرسلوا دعوات عبر البريد الإلكتروني للدبلوماسيين بمظهر رسمي. كانت الرسائل الإلكترونية تحتوي على روابط، وعند النقر عليها، تؤدي إلى تنزيل برنامج ضار مخفي في ملف يحمل اسم wine.zip.
يقوم هذا الملف بتثبيت أداة جديدة تسمى GRAPELOADER، التي تسمح للمهاجمين بالحصول على موطئ قدم في حاسوب الضحية. يجمع GRAPELOADER معلومات النظام، ويقيم بابًا خلفيًا لأوامر أخرى، ويضمن بقاء البرنامج الضار على الجهاز حتى بعد إعادة التشغيل.
“تقوم GRAPELOADER بتحسين تقنيات مكافحة التحليل لـ WINELOADER ، مع تقديم أساليب تخفي أكثر تقدمًا”، كما لاحظ الباحثون. كما تستخدم الحملة نسخة أحدث من WINELOADER، وهو منفذ خلفي معروف من هجمات APT29 السابقة، والذي من المحتمل أن يتم استخدامه في المراحل اللاحقة.
تم إرسال رسائل البريد الإلكتروني الاحتيالية من مجالات تقلد المسؤولين الحقيقيين في الوزارة. إذا فشل الرابط الموجود في البريد الإلكتروني في خداع الهدف، تم إرسال رسائل بريد إلكتروني للمحاولة مرة أخرى. في بعض الحالات، أعاد توجيه النقر على الرابط المستخدمين إلى موقع وزارة الحقيقي لتجنب الشك.
تستخدم عملية الإصابة ملف PowerPoint شرعي لتشغيل الرمز المخفي باستخدام طريقة تسمى “تحميل جانبي لـ DLL”. ثم تنسخ البرامج الخبيثة نفسها إلى مجلد مخفي، وتغير إعدادات النظام للبدء تلقائيًا، وتتصل بخادم بعيد كل دقيقة لانتظار المزيد من التعليمات.
لقد بذل المهاجمون جهدًا كبيرًا للبقاء مخفيين. يستخدم GRAPELOADER تقنيات معقدة لتشويش الرمز البرمجي، ومحو آثاره، وتجنب الكشف عنه بواسطة برامج الأمان. هذه الأساليب تجعله أصعب للمحللين لتفكيك ودراسة البرامج الخبيثة.
تظهر هذه الحملة أن APT29 ما زالت تتطور في تكتيكاتها، حيث تستخدم استراتيجيات مبتكرة وخادعة للتجسس على الأهداف الحكومية في جميع أنحاء أوروبا.