ハッカーたちが偽のワインイベントの招待状でEU外交官を狙う

ロシアのハッカー達がEUの役人になりすまし、偽のワインパーティーの招待で外交官を誘い出すという手口を使い、進化し続けるスパイ活動の一環としてステルス型マルウェア「GRAPELOADER」を展開しました。

サイバーセキュリティの研究者たちは、ロシアに関連するハッキンググループAPT29（別名Cozy Bear）による新たなフィッシング攻撃の波を明らかにしました。このキャンペーンはCheck Pointによって指摘され、偽の外交酒試飲イベントの招待状によって欧州の外交官をだまそうとしています。

調査によれば、攻撃者たちはヨーロッパの外務省を装い、公式のように見える招待状を外交官にメールで送付しました。これらのメールには、クリックすると、wine.zipという名前のファイルに隠されているマルウェアをダウンロードするリンクが含まれていました。

このファイルは、新たなツールであるGRAPELOADERをインストールします。これにより攻撃者は被害者のコンピューターに足がかりを作ることができます。GRAPELOADERはシステム情報を収集し、さらなるコマンドのためのバックドアを確立し、再起動後もデバイス上にマルウェアが残ることを確認します。

「GRAPELOADERは、WINELOADERの対分析技術を洗練させ、さらに高度なステルス手法を導入しています」と研究者たちは指摘しています。また、キャンペーンでは、以前のAPT29の攻撃から知られるバックドアの新しいバージョンのWINELOADERも使用されていると見られ、これは後の段階で使用される可能性が高いです。

フィッシングメールは、本物の省庁の役人を装ったドメインから送信されました。メールのリンクがターゲットをだますことができなかった場合、再試行するために追跡メールが送信されました。一部の場合では、リンクをクリックすると、ユーザーは実際の省庁のウェブサイトにリダイレクトされ、疑念を避けるためでした。

感染プロセスは、正当なPowerPointファイルを使用して、「DLLサイドローディング」と呼ばれる方法で隠しコードを実行します。その後、マルウェアは自身を隠しフォルダにコピーし、自動的に起動するようにシステム設定を変更し、さらなる指示を待つために毎分リモートサーバーに接続します。

攻撃者たちは隠れるために手間をかけました。GRAPELOADERは、コードをスクランブルし、足跡を消し、セキュリティソフトウェアによる検出を避ける複雑な手法を使用します。これらの方法は、アナリストがマルウェアを解析し、研究するのを難しくします。

このキャンペーンは、APT29がその戦術を進化させ続け、ユニークで巧妙な戦略を用いてヨーロッパ全域の政府対象をスパイすることを示しています。