Apt29 (aka Cozy Bear, yani gece yarısı Blizzard), bir kez daha, Avrupa diplomatlarını şarap tatma etkinliklerine sahte davetiyelerle hedefliyor.
Cozy Bear, şarap tadımı ve yemeklerini yem olarak kullanır
2024’ün başlarında Zscaler, Wineloader Backdoor’u Avrupa diplomatlarına teslim etmeyi amaçlayan düşük hacimli bir kimlik avı kampanyasını işaretledi. Lure, Hindistan Büyükelçisi tarafından gönderilen ve diplomatları bir şarap tatma etkinliğine davet eden sahte bir davet mektubu içeren bir PDF dosyasıydı.
Aynı zamanda, Alman siyasi partileri benzer şekilde Hıristiyan Demokratik Birliği (CDU) tarafından gönderilen bir akşam yemeği resepsiyonuna sahte davetiyelerle hedeflendi.
Rusya’nın Dış İstihbarat Servisi (SVR) adına hareket ettiğine inanılan rahat ayı bilgisayar korsanlarının, kötü amaçlı yazılımları indirmek için hedefler elde etmek için bir bahane olarak tekrar diplomatik olaylara sahte davetiyeler kullandıkları için bu tür cazibeler yeterince iyi çalışıyor.
Kimlik avı kampanyası ve kötü amaçlı yazılım
Bu sefer kimlik avı e -postaları, etkinliklerin yapılması gerektiği mekanı taklit etti ve büyük bir Avrupa Dışişleri Bakanlığı tarafından davet edildi. Hedefler Avrupa hükümetleri ve diplomatlardı.
“Her e -posta, tıklandığında indirilmesini başlatan kötü niyetli bir bağlantı içeriyordu. wine.zip Saldırının bir sonraki aşaması için. Bağlantıyı barındıran etki alanı, e -postayı göndermek için kullanılan alanla aynıdır. İlk girişimin başarısız olduğu durumlarda, kurbanın bağlantıyı tıklaması ve makinesinden ödün vermesini sağlama olasılığını artırmak için ek e -posta dalgaları gönderildi ”dedi.
Arşiv dosyası, aralarında, araştırmacılar tarafından grapeloader olarak adlandırılan bir yükleyici olan birkaç DLL dosyası içeriyordu.
“Grapeloader kimlik avı e-postalarına yakın bir şekilde, Wineloader’ın yeni bir varyantı Virustotal’a gönderildi. Yeni keşfedilen varyant, aynı zengin-Pe başlıklarını ve Appvisvsubsystems64.dll ile yakından eşleşen bir derleme zaman damgasını paylaşıyor ve aynı araştırmacıların bir parçası olduklarını gösteriyor.”
“Bu bilgiler ve Grapeloader’ın Wineloader’ı teslim etmek için geçmiş kampanyalarda kullanılan bir HTA indiricisi olan Rootsaw’un yerini almasıyla, Grapeloader’ın nihayetinde Wineloader’ın konuşlandırılmasına yol açtığına inanıyoruz.”
Grapeloader birkaç anti-analiz tekniği kullanır, hedef makinelerde kalıcılığını sağlamak, uç nokta güvenlik çözümlerinden kaçınabilmek ve bellek içi kötü amaçlı kod yürütebilmek için bir RUN kayıt defteri anahtarı oluşturur.
“Bu kampanya oldukça hedeflendiğinden, Toplu Parmak izi enfekte makineleri ve bir sonraki aşama yükün yürütülmesi kalıcı izler bırakmadığından, bir sonraki aşamalı kabuk kodunu alamadık ”dedi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!