{"id":239207,"date":"2025-04-17T22:29:00","date_gmt":"2025-04-17T19:29:00","guid":{"rendered":"https:\/\/life.karpat.in.ua\/?p=239207"},"modified":"2025-04-17T20:24:13","modified_gmt":"2025-04-17T17:24:13","slug":"borkostoloval-vettek-ra-diplomatakat-egy-kartevo-szoftver-letoltesere-oroszok","status":"publish","type":"post","link":"https:\/\/life.karpat.in.ua\/?p=239207&lang=hu","title":{"rendered":"Borkostol\u00f3val vettek r\u00e1 diplomat\u00e1kat egy k\u00e1rtev\u0151 szoftver let\u00f6lt\u00e9s\u00e9re oroszok"},"content":{"rendered":"\n

Oroszorsz\u00e1g sosem \u00e1ll le a j\u00f3l bev\u00e1lt taktik\u00e1k alkalmaz\u00e1s\u00e1val, \u00e9s a Cozy Bear, azaz az APT 29 kiberk\u00e9mjei ism\u00e9t megpr\u00f3b\u00e1lt\u00e1k az eur\u00f3pai diplomat\u00e1kat egy luxus-rendezv\u00e9nyre sz\u00f3l\u00f3 hamis megh\u00edv\u00f3val r\u00e1venni egy malware let\u00f6lt\u00e9s\u00e9re.<\/strong><\/p>\n\n\n\n

Tavaly a Kreml csapata n\u00e9met politikusokat vett c\u00e9lba a Wineloader nev\u0171 Windows k\u00e1rtev\u0151vel, amelyet egy vacsoraestre sz\u00f3l\u00f3 hamis megh\u00edv\u00f3ba rejtettek. Most a Check Point k\u00e1rtev\u0151vad\u00e1szai szerint ugyanaz a csapat visszat\u00e9rt a Grapeloaderrel, de vacsora helyett most az oroszok egy bork\u00f3stol\u00f3ra sz\u00f3l\u00f3 megh\u00edv\u00f3val csalogatt\u00e1k az eur\u00f3pai diplomat\u00e1kat. Az eleg\u00e1ns \u00f6sszej\u00f6vetelre sz\u00f3l\u00f3 aj\u00e1nlatok egy meg nem nevezett eur\u00f3pai orsz\u00e1g k\u00fcl\u00fcgyminiszt\u00e9rium\u00e1t\u00f3l sz\u00e1rmaz\u00f3nak \u00e1lc\u00e1zott e-mailben \u00e9rkeztek, \u00e9s a kontinens diplomat\u00e1inak k\u00fcldt\u00e9k el \u0151ket. Ha a c\u00e9lszem\u00e9lyek nem v\u00e1laszoltak, a csal\u00f3k tov\u00e1bbi e-maileket k\u00fcldtek.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

A t\u00e1rgysorok k\u00f6z\u00f6tt szerepeltek a k\u00f6vetkez\u0151k: \u201eBork\u00f3stol\u00f3 esem\u00e9ny (friss\u00edtett d\u00e1tum)\u201d, \u201eNagyk\u00f6veti napt\u00e1rba\u201d \u00e9s \u201eDiplom\u00e1ciai vacsora\u201d. Maga az \u00fczenet egy t\u00e1voli szerverr\u0151l t\u00f6rt\u00e9n\u0151 let\u00f6lt\u00e9sre mutat\u00f3 linket tartalmazott, amelyre nem szabad r\u00e1kattintani. \u201eA linknek otthont ad\u00f3 szerver v\u00e9lhet\u0151en nagym\u00e9rt\u00e9kben v\u00e9dett a szkennel\u00e9si \u00e9s automatiz\u00e1lt elemz\u00e9si megold\u00e1sokkal szemben, a rosszindulat\u00fa let\u00f6lt\u00e9s csak bizonyos felt\u00e9telek, p\u00e9ld\u00e1ul meghat\u00e1rozott id\u0151pontok vagy f\u00f6ldrajzi helyek eset\u00e9n indul el\u201d \u2013 jelentette a Check Point csapata.<\/p>\n\n\n\n

Ha a felhaszn\u00e1l\u00f3 megfelel a t\u00e1mad\u00f3k krit\u00e9riumainak, a megh\u00edv\u00f3 linkre kattintva let\u00f6lt egy wine.zip nev\u0171 arch\u00edvumot. M\u00e1s esetekben a link a c\u00edmzettet az \u00fczenetet \u00e1ll\u00edt\u00f3lagosan k\u00fcld\u0151 nagyk\u00f6vets\u00e9g weboldal\u00e1nak legitim oldal\u00e1ra ir\u00e1ny\u00edtja.<\/p>\n\n\n\n

A wine.zip arch\u00edvum h\u00e1rom f\u00e1jlt tartalmaz:<\/p>\n\n\n\n

    \n
  1. Egy PowerPointban futtathat\u00f3 programot, a wine.exe-t, amelyet DLL oldallet\u00f6lt\u00e9sre haszn\u00e1lnak ki.<\/li>\n\n\n\n
  2. Egy rejtett DLL-t, az AppvIsvSubsystems64.dll, amely fel van duzzasztva szem\u00e9t k\u00f3ddal, \u00e9s csak a PowerPoint program futtat\u00e1s\u00e1hoz sz\u00fcks\u00e9ges f\u00fcgg\u0151s\u00e9gk\u00e9nt szolg\u00e1l.<\/li>\n\n\n\n
  3. Egy m\u00e1sik rejtett \u00e9s er\u0151sen elkend\u0151z\u00f6tt DLL-t, a ppcore.dll-t, amely Grapeloader bet\u00f6lt\u0151k\u00e9nt m\u0171k\u00f6dik, \u00e9s val\u00f3sz\u00edn\u0171leg a Wineloader sz\u00e1ll\u00edt\u00e1s\u00e1ra haszn\u00e1lj\u00e1k a t\u00e1mad\u00e1s k\u00e9s\u0151bbi f\u00e1zisaiban.<\/li>\n<\/ol>\n\n\n\n

    A Grapeloader a tartalm\u00e1t az \u00e1ldozat PC-j\u00e9nek merevlemez\u00e9re m\u00e1solja, \u00e9s a Windows Registry Run kulcs\u00e1t megv\u00e1ltoztatja a perzisztencia biztos\u00edt\u00e1sa \u00e9rdek\u00e9ben. Inform\u00e1ci\u00f3kat keres, bele\u00e9rtve felhaszn\u00e1l\u00f3neveket, a sz\u00e1m\u00edt\u00f3g\u00e9p nev\u00e9t, folyamatneveket \u00e9s folyamatazonos\u00edt\u00f3kat. 60 m\u00e1sodpercenk\u00e9nt megpingel egy Cozy Bear parancs- \u00e9s vez\u00e9rl\u0151 szervert, hogy utas\u00edt\u00e1sokat kapjon a Wineloader friss\u00edtett verzi\u00f3j\u00e1nak futtat\u00e1s\u00e1ra. A Wineloader \u00faj verzi\u00f3ja egy 64 bites tr\u00f3jai DLL-f\u00e1jl, amely lehet\u0151v\u00e9 teszi, hogy a fert\u0151z\u00f6tt g\u00e9pr\u0151l adatokat gy\u0171jtsenek, azokat RC4 seg\u00edts\u00e9g\u00e9vel titkos\u00edtj\u00e1k, \u00e9s visszak\u00fcldj\u00e9k a parancs- \u00e9s vez\u00e9rl\u0151szerverre. T\u00f6rli a mem\u00f3ri\u00e1b\u00f3l a jelenl\u00e9t\u00e9re utal\u00f3 jeleket, \u00e9s olyan k\u00f3dot haszn\u00e1l, hogy elrejtse val\u00f3di term\u00e9szet\u00e9t a rosszindulat\u00fa programokat keres\u0151 alkalmaz\u00e1sok el\u0151l.<\/p>\n\n\n\n

    A Check Point az \u00faj Wineloader k\u00f3d \u00e9s a c\u00e9lpontok elemz\u00e9se alapj\u00e1n arra a k\u00f6vetkeztet\u00e9sre jutott, hogy a k\u00e1rtev\u0151 m\u00f6g\u00f6tt szinte biztosan az orosz korm\u00e1ny \u00e9s a Cozy Bear, Moszkva egyik leghatalmasabb \u00e9s legterm\u00e9kenyebb kiberk\u00e9mked\u0151 csapata \u00e1ll. A csoport \u00e1llt a SolarWinds 2020-as nagyszab\u00e1s\u00fa hackel\u00e9se m\u00f6g\u00f6tt, \u00e9s v\u00e9lhet\u0151en az orosz h\u00edrszerz\u00e9s, az FSZB \u00e1ltal ir\u00e1ny\u00edtott egyik csoport.<\/p>\n\n\n\n

    A Cozy Bear hossz\u00fa m\u00faltra tekint vissza, egyik legnagyobb akci\u00f3juk az amerikai k\u00fcl\u00fcgyminiszt\u00e9rium \u00e9s a Feh\u00e9r H\u00e1z megt\u00e1mad\u00e1sa volt a 2016-os amerikai orsz\u00e1gos v\u00e1laszt\u00e1sok el\u0151tt. A banda akkor bukott le, amikor a holland korm\u00e1ny szak\u00e9rt\u0151inek siker\u00fclt felt\u00f6rni\u00fck a csapat biztons\u00e1gi kamer\u00e1it, \u00e9s megfigyelni \u0151ket munka k\u00f6zben. Manaps\u00e1g a Cozy mindent begy\u0171jt, amire a Kreml kiv\u00e1ncsi a nyugati korm\u00e1nyokn\u00e1l \u00e9s sz\u00f6vets\u00e9geseikn\u00e9l \u2013 m\u00e9g a Covid\u201319 vakcina fejleszt\u00e9si adataira is r\u00e1sz\u00e1lltak a vil\u00e1gj\u00e1rv\u00e1ny idej\u00e9n. Feltehet\u0151en a vezet\u00e9s \u00fagy d\u00f6nt\u00f6tt, hogy a diplomat\u00e1k bulival val\u00f3 elcs\u00e1b\u00edt\u00e1sa legut\u00f3bb olyan j\u00f3l m\u0171k\u00f6d\u00f6tt, hogy itt az ideje, hogy \u00fajra megpr\u00f3b\u00e1lj\u00e1k.<\/p>\n\n\n\n

    (sg.hu)<\/a><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

    Oroszorsz\u00e1g sosem \u00e1ll le a j\u00f3l bev\u00e1lt taktik\u00e1k alkalmaz\u00e1s\u00e1val, \u00e9s a Cozy Bear, azaz az APT 29 kiberk\u00e9mjei ism\u00e9t megpr\u00f3b\u00e1lt\u00e1k az eur\u00f3pai diplomat\u00e1kat egy luxus-rendezv\u00e9nyre sz\u00f3l\u00f3 hamis megh\u00edv\u00f3val r\u00e1venni egy malware let\u00f6lt\u00e9s\u00e9re.<\/p>\n","protected":false},"author":12,"featured_media":239208,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[41,596,49,590,592,39],"tags":[1870251,24957,1870253,536974],"class_list":["post-239207","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cikkek","category-erdekes","category-hirek","category-it-hu","category-tarsadalom","category-vilag","tag-borkostolo","tag-kemprogram","tag-nygati-dipomatak","tag-orosz-hekkerek"],"_links":{"self":[{"href":"https:\/\/life.karpat.in.ua\/index.php?rest_route=\/wp\/v2\/posts\/239207","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/life.karpat.in.ua\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/life.karpat.in.ua\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/life.karpat.in.ua\/index.php?rest_route=\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/life.karpat.in.ua\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=239207"}],"version-history":[{"count":1,"href":"https:\/\/life.karpat.in.ua\/index.php?rest_route=\/wp\/v2\/posts\/239207\/revisions"}],"predecessor-version":[{"id":239209,"href":"https:\/\/life.karpat.in.ua\/index.php?rest_route=\/wp\/v2\/posts\/239207\/revisions\/239209"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/life.karpat.in.ua\/index.php?rest_route=\/wp\/v2\/media\/239208"}],"wp:attachment":[{"href":"https:\/\/life.karpat.in.ua\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=239207"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/life.karpat.in.ua\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=239207"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/life.karpat.in.ua\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=239207"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}