Borkostolóval vettek rá diplomatákat egy kártevő szoftver letöltésére oroszok

Oroszország sosem áll le a jól bevált taktikák alkalmazásával, és a Cozy Bear, azaz az APT 29 kiberkémjei ismét megpróbálták az európai diplomatákat egy luxus-rendezvényre szóló hamis meghívóval rávenni egy malware letöltésére.

Tavaly a Kreml csapata német politikusokat vett célba a Wineloader nevű Windows kártevővel, amelyet egy vacsoraestre szóló hamis meghívóba rejtettek. Most a Check Point kártevővadászai szerint ugyanaz a csapat visszatért a Grapeloaderrel, de vacsora helyett most az oroszok egy borkóstolóra szóló meghívóval csalogatták az európai diplomatákat. Az elegáns összejövetelre szóló ajánlatok egy meg nem nevezett európai ország külügyminisztériumától származónak álcázott e-mailben érkeztek, és a kontinens diplomatáinak küldték el őket. Ha a célszemélyek nem válaszoltak, a csalók további e-maileket küldtek.

A tárgysorok között szerepeltek a következők: „Borkóstoló esemény (frissített dátum)”, „Nagyköveti naptárba” és „Diplomáciai vacsora”. Maga az üzenet egy távoli szerverről történő letöltésre mutató linket tartalmazott, amelyre nem szabad rákattintani. „A linknek otthont adó szerver vélhetően nagymértékben védett a szkennelési és automatizált elemzési megoldásokkal szemben, a rosszindulatú letöltés csak bizonyos feltételek, például meghatározott időpontok vagy földrajzi helyek esetén indul el” – jelentette a Check Point csapata.

Ha a felhasználó megfelel a támadók kritériumainak, a meghívó linkre kattintva letölt egy wine.zip nevű archívumot. Más esetekben a link a címzettet az üzenetet állítólagosan küldő nagykövetség weboldalának legitim oldalára irányítja.

A wine.zip archívum három fájlt tartalmaz:

1. Egy PowerPointban futtatható programot, a wine.exe-t, amelyet DLL oldalletöltésre használnak ki.
2. Egy rejtett DLL-t, az AppvIsvSubsystems64.dll, amely fel van duzzasztva szemét kóddal, és csak a PowerPoint program futtatásához szükséges függőségként szolgál.
3. Egy másik rejtett és erősen elkendőzött DLL-t, a ppcore.dll-t, amely Grapeloader betöltőként működik, és valószínűleg a Wineloader szállítására használják a támadás későbbi fázisaiban.

A Grapeloader a tartalmát az áldozat PC-jének merevlemezére másolja, és a Windows Registry Run kulcsát megváltoztatja a perzisztencia biztosítása érdekében. Információkat keres, beleértve felhasználóneveket, a számítógép nevét, folyamatneveket és folyamatazonosítókat. 60 másodpercenként megpingel egy Cozy Bear parancs- és vezérlő szervert, hogy utasításokat kapjon a Wineloader frissített verziójának futtatására. A Wineloader új verziója egy 64 bites trójai DLL-fájl, amely lehetővé teszi, hogy a fertőzött gépről adatokat gyűjtsenek, azokat RC4 segítségével titkosítják, és visszaküldjék a parancs- és vezérlőszerverre. Törli a memóriából a jelenlétére utaló jeleket, és olyan kódot használ, hogy elrejtse valódi természetét a rosszindulatú programokat kereső alkalmazások elől.

A Check Point az új Wineloader kód és a célpontok elemzése alapján arra a következtetésre jutott, hogy a kártevő mögött szinte biztosan az orosz kormány és a Cozy Bear, Moszkva egyik leghatalmasabb és legtermékenyebb kiberkémkedő csapata áll. A csoport állt a SolarWinds 2020-as nagyszabású hackelése mögött, és vélhetően az orosz hírszerzés, az FSZB által irányított egyik csoport.

A Cozy Bear hosszú múltra tekint vissza, egyik legnagyobb akciójuk az amerikai külügyminisztérium és a Fehér Ház megtámadása volt a 2016-os amerikai országos választások előtt. A banda akkor bukott le, amikor a holland kormány szakértőinek sikerült feltörniük a csapat biztonsági kameráit, és megfigyelni őket munka közben. Manapság a Cozy mindent begyűjt, amire a Kreml kiváncsi a nyugati kormányoknál és szövetségeseiknél – még a Covid–19 vakcina fejlesztési adataira is rászálltak a világjárvány idején. Feltehetően a vezetés úgy döntött, hogy a diplomaták bulival való elcsábítása legutóbb olyan jól működött, hogy itt az ideje, hogy újra megpróbálják.

(sg.hu)