Российская кибергруппа заманивает европейских дипломатов на дегустацию вин с вирусом GRAPELOADER
Российская киберразведка, по данным западных аналитиков, разворачивает новую волну фишинговых атак на европейских дипломатов, используя утончённый обман — приглашения на дегустации вина. За внешней изысканностью скрывается зловредное программное обеспечение GRAPELOADER — новейшая разработка, которую приписывают печально известной группе APT29, также известной как Cozy Bear или Midnight Blizzard, пишет thehackernews.com.
Согласно техническому отчёту израильской компании Check Point, хакеры внедрили усовершенствованную версию старого модуля WINELOADER, а также ранее неизвестный инструмент GRAPELOADER, предназначенный для начальной стадии атак: сбора информации о заражённой системе, закрепления в системе и доставки основной вредоносной нагрузки.
Как работает атака
Целью кибератаки стали министерства иностранных дел европейских государств и дипмиссии, находящиеся в странах Европы. Эксперты отмечают, что под удар могли попасть и сотрудники дипломатических ведомств на Ближнем Востоке.
Атака начинается с электронной рассылки, в которой злоумышленники представляются европейским МИДом и приглашают получателя на дегустацию вина. Письмо содержит ZIP-архив «wine.zip», где размещены:
- wine.exe — легитимное приложение PowerPoint;
- AppvIsvSubsystems64.dll — вспомогательная библиотека;
- ppcore.dll — вредоносная DLL, запускаемая посредством технологии DLL sideloading.
Таким способом активируется GRAPELOADER — программа, получающая права на постоянную работу в системе через модификацию реестра Windows, чтобы запускаться при каждом включении ПК.
GRAPELOADER использует продвинутые методы сокрытия: динамическое разрешение API, шифрование строк и обход защитных механизмов. Собрав базовую информацию о компьютере-жертве, он отправляет её на внешний сервер, где уже подбирается следующий вредоносный компонент — вероятно, усовершенствованный WINELOADER.
По данным Check Point, GRAPELOADER заменил более ранний загрузчик ROOTSAW, использовавшийся в предыдущих кампаниях для доставки WINELOADER. Это свидетельствует о развитии инструментария группы APT29, якобы связанной с Службой внешней разведки России (СВР).
Сопутствующая активность — Gamaredon и заражение флешек
На фоне всплеска активности APT29, французская компания HarfangLab представила анализ другого российского киберинструмента — PteroLNK, используемого группировкой Gamaredon, активно действующей на украинском направлении.
Скрипты PteroLNK на основе VBScript заражают USB-носители, подменяя обычные файлы (.pdf, .docx, .xlsx) на ярлыки (.lnk), которые, в свою очередь, активируют заражение при открытии. Вредонос регулярно запускается каждые 3–9 минут и способен распространяться как через локальные диски, так и по локальной сети.
Особенность таких атак — высокая адаптивность. Скрипты легко модифицируются под любую цель, включая смену имён файлов, путей, ключей реестра и логики обхода защитных решений. По мнению аналитиков, Gamaredon делает ставку не на техническую сложность, а на тактическую гибкость и масштабность атак.
На фоне продолжающегося конфликта между Россией и Западом, киберпространство превращается в дополнительный фронт. Угроза от APT29 и Gamaredon демонстрирует не только высокий уровень технической подготовки, но и умелую работу с социальной инженерией — когда достаточно заманчивого письма с приглашением на дегустацию вина, чтобы начать захват системы.
Сценарий, в котором вредоносное ПО распространяется под видом культурного мероприятия, обнажает слабые места даже в защищённых структурах — дипломатических ведомствах. А значит, очередная киберволна может ударить не столько по серверам, сколько по доверию и имиджу.
