Киберпреступники из группировки Midnight Blizzard продолжают изощрённо атаковать дипломатические учреждения Европы, под прикрытием заманчивых предложений о дегустации вина.
Как выяснили специалисты Check Point Research, с начала 2025 года злоумышленники рассылают фальшивые письма якобы от имени министерств иностранных дел с приглашением на винную дегустацию. Вроде бы ничего подозрительного, но за этим кроется тщательно скрытая угроза.
Вредоносная активность начинается с письма, в котором прикреплён архив «wine.zip». Чтобы избежать подозрений, файл доступен только для определённых жертв. Внутри архива спрятаны исполняемый файл «wine.exe», замаскированный под презентацию PowerPoint, и опасный компонент «ppcore.dll», выполняющий роль загрузчика GrapeLoader. Он запускает сбор данных о системе и делает все необходимые изменения в реестре, чтобы вредонос мог автозапускаться при каждом включении устройства.
В отличие от предыдущих версий, GrapeLoader работает с ещё большей скрытностью. Он внедряется через подмену DLL-файлов, а также использует задержку запуска на 10 секунд, что затрудняет его обнаружение антивирусами и системами EDR. Но это только начало. Следующий этап атаки включает WineLoader, модульный бэкдор, который собирает информацию о заражённой машине, такую как IP-адрес и данные о привилегиях, чтобы определить, стоит ли продолжать атаку или остановиться.
Что примечательно, атака настолько хорошо скрыта, что средства анализа не всегда могут эффективно извлекать данные из вредоносных программ. Вредонос работает исключительно в памяти, что усложняет его выявление. Весь этот комплексный и изощрённый инструментарий продолжает совершенствоваться, требуя от специалистов по безопасности внедрения многоуровневых защитных систем и усиленного мониторинга для своевременного реагирования на такие угрозы.
Как выяснили специалисты Check Point Research, с начала 2025 года злоумышленники рассылают фальшивые письма якобы от имени министерств иностранных дел с приглашением на винную дегустацию. Вроде бы ничего подозрительного, но за этим кроется тщательно скрытая угроза.
Вредоносная активность начинается с письма, в котором прикреплён архив «wine.zip». Чтобы избежать подозрений, файл доступен только для определённых жертв. Внутри архива спрятаны исполняемый файл «wine.exe», замаскированный под презентацию PowerPoint, и опасный компонент «ppcore.dll», выполняющий роль загрузчика GrapeLoader. Он запускает сбор данных о системе и делает все необходимые изменения в реестре, чтобы вредонос мог автозапускаться при каждом включении устройства.
В отличие от предыдущих версий, GrapeLoader работает с ещё большей скрытностью. Он внедряется через подмену DLL-файлов, а также использует задержку запуска на 10 секунд, что затрудняет его обнаружение антивирусами и системами EDR. Но это только начало. Следующий этап атаки включает WineLoader, модульный бэкдор, который собирает информацию о заражённой машине, такую как IP-адрес и данные о привилегиях, чтобы определить, стоит ли продолжать атаку или остановиться.
Что примечательно, атака настолько хорошо скрыта, что средства анализа не всегда могут эффективно извлекать данные из вредоносных программ. Вредонос работает исключительно в памяти, что усложняет его выявление. Весь этот комплексный и изощрённый инструментарий продолжает совершенствоваться, требуя от специалистов по безопасности внедрения многоуровневых защитных систем и усиленного мониторинга для своевременного реагирования на такие угрозы.
