黑客以假冒葡萄酒活动邀请为诱饵，针对欧盟外交官进行网络攻击

假扮欧盟官员的俄罗斯黑客利用假冒的红酒邀请诱骗外交官，部署隐秘的恶意软件GRAPELOADER，进行一场不断演变的间谍活动。

网络安全研究人员已经发现了由与俄罗斯有关的黑客团伙APT29（又名Cozy Bear）发起的一波新的网络钓鱼攻击。这次活动由Check Point首先发现，目标是欧洲的外交官，他们通过伪造外交葡萄酒品鉴活动的邀请来欺骗他们。

调查发现，攻击者假冒欧洲外交部的身份，向外交官员发送看似官方的邀请邮件。这些邮件中包含的链接，一旦被点击，就会引导下载隐藏在一个名为wine.zip的文件中的恶意软件。

该文件会安装一个名为GRAPELOADER的新工具，该工具使攻击者能够在受害者的计算机中获得立足点。GRAPELOADER收集系统信息，建立一个用于进一步命令的后门，并确保即使在重启后，恶意软件仍然留在设备上。

“GRAPELOADER进一步提炼了WINELOADER的反分析技术，同时引入了更先进的隐蔽方法。” 研究人员指出。此次活动还使用了WINELOADER的更新版本，这是一种从前APT29攻击中已知的后门，可能在后期阶段被使用。

这些钓鱼邮件是从假冒真正部门官员的域名发送的。如果邮件中的链接未能欺骗目标，后续邮件会再次尝试。在某些情况下，点击链接会将用户重定向到实际的部门网站，以避免引起怀疑。

这种感染过程使用合法的PowerPoint文件来运行名为“DLL侧加载”的方法的隐藏代码。然后，恶意软件将自身复制到一个隐藏的文件夹中，改变系统设置以自动启动，并每分钟连接到一个远程服务器以等待进一步的指令。

攻击者付出了巨大的努力以保持隐蔽。GRAPELOADER使用复杂的技术来混淆其代码，擦除其痕迹，并避免被安全软件检测。这些方法使分析师更难拆解和研究这种恶意软件。

这次行动表明，APT29继续发展其策略，运用富有创造力和欺骗性的策略对欧洲各地的政府目标进行间谍活动。