Связанная с российскими спецслужбами хакерская группировка APT29 рассылала дипломатам стран Евросоюза приглашения на мероприятия, чаще всего на дегустацию вина. В приглашениях была фишинговая ссылка, которая загружала на устройство шпионскую программу, сообщили специалисты по кибербезопасности компании Check Point.
Представители Check Point назвали фишинговую кампанию масштабной и нацеленной на дипломатические учреждения по всей Европе. Бэкдор, который используют хакеры, называется WINELOADER и выдает себя за министерство иностранных дел «крупной страны». Программа-загрузчик, которая срабатывает при клике по фишинговой ссылке, называется GRAPELOADER, уточнили специалисты по безопасности.
По их словам, помимо сотрудников европейских министерств иностранных дел и посольств других стран в Европе рассылка ограниченно распространялась и среди дипломатов на Ближнем Востоке.
Письма рассылались в основном с двух доменов, bakenhof.com и silry.com, с адресом отправителя, выдающим себя за конкретное лицо в конкретном министерстве иностранных дел. Домен, куда вела фишинговая ссылка, был тем же, что использовался для отправки электронного письма. В случаях, когда первая попытка оказывалась неудачной, отправлялись дополнительные волны электронных писем, чтобы увеличить вероятность того, что жертва перейдет по ссылке и скомпрометирует свой компьютер, рассказали в Check Point.
Темами электронных писем, отправленных в рамках кампании, были, например, «Мероприятие по дегустации вин», «Мероприятие по дегустации вин (конкретная дата)», «Мероприятие с вином», «Для календаря посла», «Дипломатический ужин».
Сервер, на котором размещена ссылка, защищен от сканирования и автоматизированных аналитических решений, и вредоносная загрузка запускается только при определенных условиях, таких как время или географическое местоположение. При прямом доступе ссылка перенаправляет на официальный веб-сайт реального Министерства иностранных дел, рассказали специалисты по безопасности.
В Check Point начало волны рассылок европейским чиновникам датировали январем и сообщили, что ранее APT29 уже использовала WINELOADER для похожей компании год назад, когда бэкдор выдавал себя за посла Индии. APT29 также известна как Midnight Blizzard или Cozy Bear, ее целью являются крупные организации, включая правительственные учреждения и аналитические центры. Кроме рассылки фишинговых ссылок, группа известна громкими атаками на цепочки поставок товаров, сообщила Check Point.
