Возобновление фишинговой кампании APT29 против европейских дипломатов

Кампания проводится при помощи фишинговых писем, выдающих себя за крупное европейское министерство иностранных дел и распространяющих поддельные приглашения на дипломатические мероприятия, чаще всего на дегустацию вин. В качестве нового инструмента кампании используется загрузчик GRAPELOADER, который загружается по ссылке в фишинговом письме. Кроме того, обнаружен новый вариант бэкдора WINELOADER, который, вероятно, используется на более поздних этапах кампании. Оба инструмента имеют сходство в структуре кода, обфускации и расшифровке строк.

Анализ CPR показывает, что APT29, также известная как Midnight Blizzard или Cozy Bear, известна своими атаками на высокопоставленные организации, включая правительственные агентства и аналитические центры. Их атаки варьируются от фишинговых кампаний до атак на цепочки поставок. Кампания APT29 также связана с атакой на цепочки поставок SolarWinds.

В текущей фишинговой кампании злоумышленники выдают себя за европейское министерство иностранных дел и рассылают приглашения на дегустацию вин, чтобы привести свои жертвы к загрузке нового бэкдора GRAPELOADER. Целями атак являются различные европейские страны, включая посольства неевропейских стран в Европе. Кроме того, был обнаружен новый вариант WINELOADER, который, предположительно, используется на более поздних стадиях атаки.

Фишинговые письма в данной кампании были отправлены с разных доменов и содержали вредоносные ссылки или прикрепленные архивы. Некоторые письма содержали ссылки на официальный сайт выдававшего себя за министерство иностранных дел. Письма имитировали приглашения на мероприятия по дегустации вин, и усиливались дополнительными волнами писем, чтобы повысить вероятность последовательного нажатия жертвой на вредоносную ссылку.

В одном из обнаруженных архивов содержался легитимный исполняемый файл PowerPoint, скрытая DLL и обфусцированная DLL, которая функционировала как загрузчик. Целью этой атаки было получение полного контроля над компьютерами дипломатов и сбор разведывательной информации. Оба инструмента, GRAPELOADER и WINELOADER, использовались для хакерских целей и обладали сходной структурой кода и методами обфускации. Подробное изучение этой фишинговой кампании позволит разработчикам безопасности принять меры для защиты от подобных атак.

Domains

• bakenhof.com
• bravecup.com
• ophibre.com
• silry.com

URLs

• https://bakenhof.com/invb.php
• https://silry.com/inva.php

SHA256

• 24c079b24851a5cc8f61565176bbf1157b9d5559c642e31139ab8d76bbb320f8
• 420d20cddfaada4e96824a9184ac695800764961bad7654a6a6c3fe9b1b74b9a
• 653db3b63bb0e8c2db675cd047b737cefebb1c955bd99e7a93899e2144d34358
• 78a810e47e288a6aff7ffbaf1f20144d2b317a1618bba840d42405cddc4cff41
• 85484716a369b0bc2391b5f20cf11e4bd65497a34e7a275532b729573d6ef15e
• adfe0ef4ef181c4b19437100153e9fe7aed119f5049e5489a36692757460b9f8
• d931078b63d94726d4be5dc1a00324275b53b935b77d3eed1712461f0c180164