Image by Monique Carrati, from Unsplash
Hackerlar, Sahte Şarap Etkinliği Davetiyeleriyle AB Diplomatlarını Hedef Alıyor
Okuma süresi: 2 dk.
Son Güncellenen Apr 17, 2025
-
![Kiara Fabbri]()
-
![Lokalizasyon ve Çeviri Ekibi]()
Çevirisi tarafından yapılmıştır Lokalizasyon ve Çeviri Ekibi Lokalizasyon ve Çeviri Hizmetleri
Rus hackerlar, EU yetkilileri gibi davranarak diplomatları sahte şarap davetleriyle kandırdı ve sürekli gelişen bir casusluk kampanyasında gizli malware GRAPELOADER’ı kullanmaya başladı.
Acelesi olanlar için hızlı bilgiler:
- APT29, phishing e-postalarını şarap etkinliği davetiyeleri olarak gizleyerek AB diplomatlarını hedef alıyor.
- GRAPELOADER, anti-analiz yükseltmeleri dahil olmak üzere önceki zararlı yazılımlardan daha gizli taktikler kullanır.
- Zararlı yazılım, bir PowerPoint dosyasında DLL yan yükleme aracılığıyla gizli kodları çalıştırır.
Siber güvenlik araştırmacıları, APT29 olarak da bilinen ve Rusya’ya bağlı bir hacker grubu olan Cozy Bear tarafından gerçekleştirilen yeni bir dalga phishing saldırısını ortaya çıkardı. Check Point tarafından belirlenen kampanya, Avrupa diplomatlarını sahte diplomatik şarap tadımı etkinliklerine davetlerle kandırıyor.
Araştırma, saldırganların bir Avrupa Dışişleri Bakanlığı’na benzer şekilde davranarak diplomatları resmi görünen davetiyelerle e-postaladığını ortaya çıkardı. E-postalar, tıklandığında, wine.zip adlı bir dosya içinde gizlenmiş zararlı yazılımın indirilmesine yol açan bağlantılar içeriyordu.
Bu dosya, saldırganların kurbanın bilgisayarına sızmasını sağlayan yeni bir araç olan GRAPELOADER’ı kurar. GRAPELOADER, sistem bilgilerini toplar, daha fazla komut için bir arka kapı oluşturur ve zararlı yazılımın cihazda bir yeniden başlatma sonrasında bile kalmasını sağlar.
“Araştırmacılar, “GRAPELOADER, WINELOADER’ın anti-analiz tekniklerini geliştirirken daha ileri düzeyde gizlilik metotları sunmaktadır,” diye belirtti. Kampanya ayrıca, daha yeni bir WINELOADER versiyonunu kullanıyor, bu da daha önceki APT29 saldırılarından bilinen bir arka kapı ve büyük olasılıkla sonraki aşamalarda kullanılıyor.
Phishing e-postaları, gerçek bakanlık yetkililerini taklit eden alanlardan gönderildi. Eğer e-postadaki bağlantı hedefi kandırmakta başarısız olursa, tekrar denemek için takip e-postaları gönderildi. Bazı durumlarda, bağlantıya tıklamak kullanıcıları şüphelerden kaçınmak için gerçek Bakanlık web sitesine yönlendirdi.
Enfeksiyon süreci, “DLL yan yükleme” adı verilen bir yöntemle gizli kodu çalıştırmak için meşru bir PowerPoint dosyası kullanır. Zararlı yazılım kendini gizli bir klasöre kopyalar, otomatik olarak başlatmak için sistem ayarlarını değiştirir ve daha fazla talimat beklemek için her dakika uzaktaki bir sunucuya bağlanır.
Saldırganlar gizli kalmak için büyük çaba harcadılar. GRAPELOADER, kodunu karıştırmak, izlerini silmek ve güvenlik yazılımı tarafından tespit edilmekten kaçınmak için karmaşık teknikler kullanır. Bu yöntemler, analistlerin zararlı yazılımı ayrıştırıp incelemesini zorlaştırır.
Bu kampanya, APT29’un taktiklerini evrimleştirmeye devam ettiğini, yaratıcı ve aldatıcı stratejiler kullanarak Avrupa genelindeki hükümet hedeflerini casusluk yapmak için kullandığını gösteriyor.
Önceki Hikâye
Son makaleler 
