俄罗斯黑客试图通过品酒来引诱外交官

快速阅读: 《ITProPortal》消息，臭名昭著的俄罗斯黑客组织“午夜暴风雪”近期通过伪装成欧洲外交部发送钓鱼邮件，以品酒会邀请为诱饵，针对欧洲外交官实施网络攻击。他们利用恶意链接部署后门程序GRAPELOADER，通过压缩文件和隐藏DLL文件等手段进行攻击。此行动与其先前对德国政界人士的攻击手法类似，显示出代码和技术的相似性。

臭名昭著的俄罗斯威胁组织“午夜暴风雪”（Midnight Blizzard）近期调整了其攻击手法，转向以豪华活动为诱饵，针对性地针对欧洲外交官展开攻击。根据Check Point发布的详细博客文章，这一威胁组织自今年一月以来，持续针对欧洲政府及外交人员实施网络攻击。

在这次行动中，黑客伪装成“主要的欧洲外交部”，通过钓鱼邮件发出品酒会邀请。研究人员指出，精心设计的恶意邮件内含一个链接，用于部署名为“GRAPELOADER”的后门程序。博客提到，“这些邮件包含恶意链接，某些情况下会导致下载压缩文件，最终促成GRAPELOADER的部署；而在其他情况下，钓鱼邮件中的链接会重定向至假冒的外交部官网。”

Check Point进一步指出，这些恶意邮件源自两个不同域名——bakenhof[.]com和silry[.]com，试图模仿假外交部中某特定个人的合法通讯。当目标点击恶意链接时，会触发名为“wine.zip”的压缩文件下载，这是攻击进入下一阶段的关键步骤。此压缩文件包含三个文件，其中包括一个合法的PowerPoint可执行文件‘wine.exe’，该组织借此进行DLL侧加载；一个隐藏的DLL文件‘AppvIsvSubsystems64.dll’，它是PowerPoint可执行文件运行所依赖的组件；还有一个“隐藏且高度混淆”的DLL文件ppcore.dll，它作为加载器，会在攻击后期用于交付有效载荷。

一旦执行wine.exe并加载GRAPELOADER DLL，研究人员解释道，恶意软件会将wine.zip存档内的内容复制到设备磁盘上的新位置。同时，通过修改Windows注册表的Run键，确保每次系统重启时wine.exe都能自动运行。博文提到，“接下来，GRAPELOADER收集受感染主机的基本信息，例如主机名和用户名。这些收集的数据会被发送至命令与控制（C2）服务器，等待下一步shellcode交付。”

听起来熟悉？确实如此，因为午夜暴风雪此前已采用类似手段进行攻击。去年，该组织利用名为‘WINELOADER’的恶意软件，向德国政界人士发出虚假晚宴邀请。Check Point披露，此次最新行动是之前系列攻击的延续。在此案例中，GRAPELOADER专为攻击初期设计，主要用于识别受感染环境、建立持久性，并检索下一阶段的有效载荷。

两家公司提供的详细分析显示，两者在代码结构、混淆技术和字符串解密处理等方面具有诸多相似之处。值得注意的是，Check Point透露此次行动还使用了WINELOADER的新变种，与GRAPELOADER结合使用，表明“代码库重叠或共享开发策略”。此新变种展现出改进的隐蔽性和规避技术，研究人员警告称这将增加检测难度。

午夜暴风雪（又称Cozy Bear），与俄罗斯政府存在关联，是全球最活跃且最具侵略性的威胁组织之一。该组织被认为是一系列违规事件的幕后黑手，包括针对微软的攻击，导致电子邮件通信外泄。此次攻击中，该组织据称使用了密码喷洒技术破解遗留账户。事件之后，微软透露该组织能够访问“极小比例”的公司电子邮件账户，部分账户属于公司高管团队成员及安全和法律团队员工。

更多来自ITPro的相关内容：
– HPE在午夜暴风雪入侵后提醒受影响的员工。
– 秘密潜入的午夜暴风雪攻击揭示了微软安全流程中的“令人不安的漏洞”。
– 午夜暴风雪再次肆虐，企业应警惕其新战术。

主题：社会工程学

(以上内容均由Ai生成)