Gece yarısı Blizzard (APT29/Cozy Bear), şarap tadımı davetiyeleri olarak gizlenmiş sofistike kimlik avı e -postalarıyla Avrupa Büyükelçiliklerini ve Dışişleri Bakanlıklarını hedefler. Bu kampanyada konuşlandırılan yeni Grapeloader kötü amaçlı yazılım ve güncellenmiş Wineloader Backdoor hakkında bilgi edinin.
Gece yarısı Blizzard, APT29 veya Cozy Bear’dan gelen kötü şöhretli Rus hükümet destekli bilgisayar korsanları, Ocak ayından bu yana Avrupa diplomatlarının bilgisayar sistemlerine sızmaya çalışıyor ve Avrupa’daki büyükelçiliklere ve diplomatik organizasyonlara sahte e-postalar gönderiyor.
Bu etkinliği izleyen Check Point Research’teki (CPR) araştırmacılar, bilgisayar korsanlarının giriş kazanmak için ‘Grapeloader’ adlı yeni bir kötü amaçlı yazılım kullandığını ve ardından ‘Wineloader’ adlı bir Backdoor programının güncellenmiş, daha sinsi bir sürümünü kullandığını keşfetti.
Saldırı, bir ülkenin Dışişleri Bakanlığı’ndan resmi davetiyeler gibi görünen ve insanları şarap tadımı etkinliklerine davet eden e -postalarla başlıyor. Check Point’in analizi, neredeyse tüm e-postaların şarap tatma etkinlikleri temasını kullandığını ve ilk e-posta başarısız olursa, bilgisayar korsanlarının kullanıcıyı kandırmak için daha fazla gönderdiğini gösterdi.
Bu kampanya, Şubat 2024’te Zscaler tarafından belgelenen “Wineloader olarak bilinen bir arka kapıyı kullanan bir öncekinin devamı gibi görünüyor”.
İki web sitesi adresinden gönderilen e -postalar, bakenhofcom Ve silrycom“adlı bir dosyanın indirilmesini başlatan kötü niyetli bir bağlantı içerir:wine.zip. ” Açıldığında, Grapeloader programı olarak hareket eden “ppcore.dll” adlı gizlenmiş bir dosya da dahil olmak üzere üç dosya çalıştırır.
Grapeloader, “Wine.zip” dosyasının içeriğini bilgisayarın sabit sürücüsündeki yeni bir konuma kopyalar ve bilgisayarın ayarlarını, bilgisayarın her açıldığında “Wine.exe” adlı bir programı otomatik olarak çalıştıracak şekilde değiştirir ve bilgisayar korsanlarının erişimini korumasını sağlar. Bilgisayar korsanlarının özellikle Avrupa Dışişleri ve Elçilikler Bakanlıklarını hedefledikleri belirtilmelidir.
Wineloader Backdoor, enfekte bilgisayarlardan hassas bilgileri toplamak için tasarlanmış ve hackerlara siber casusluk operasyonlarında yardımcı olan sofistike bir araçtır. Araştırmacılar, bu yeni sürümün kod saklama teknikleri nedeniyle tespit edilmesinin daha zor olduğunu keşfetirken, eski sürümlerinin otomatik araçlarla analiz edilmesi nispeten daha kolaydı.
Arka kapı, bilgisayarın IP adresi, program adı, Windows kullanıcı adı ve işlem kimliği gibi bilgileri toplar. Bu arka kapı, blog yazılarında vurgulanan CPR, Diplomatlara Karşı Gece Yarısı Blizzard’ın önceki hack denemelerinde kullanılmıştır.
Araştırmacılar, Grapeloader’ı bu saldırının ilk aşamalarında enfekte bilgisayar hakkında bilgi toplamak, bilgisayar korsanlarının erişimi sürdürebilmesini sağlamak ve saldırılarının bir sonraki aşamasını Wineloader Backdoor’u indirmek için nispeten yeni bir araç olarak tanımlıyor. Grapeloader, kodunda metni gizlemek ve çalışma zamanında gerekli bilgisayar işlevlerini bulmak gibi güvenlik araçlarının algılanmasını önlemek için çeşitli hileler kullanır.
Operasyon, siber casusluğun gelişen doğasını ve ulus devlet aktörlerinin diplomatik iletişim ve sistemlere yönelttiği sürekli tehdidi vurgulamaktadır. Bu keşif, diplomatik kuruluşların uyanık kalmaları, daha güçlü siber güvenlik önlemleri uygulaması ve personeli sofistike kimlik avı saldırıları riskleri hakkında eğitmeleri için bir hatırlatma görevi görür.