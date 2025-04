Az APT29 – más néven Cozy Bear vagy Midnight Blizzard – egy jól ismert orosz államilag támogatott kiberkémkedési csoport, amely új technikákkal és eszközökkel támadja a diplomáciai és kormányzati intézményeket Európában.

A Check Point nevű kiberbiztonsági vállalat kutatói egy újabb adathalász kampányt fedeztek fel, amely az európai diplomatákat célozta. A támadók egy hamis borkóstoló meghívóval próbálták elérni, hogy a célpontok kártékony, adathalász vírusokat terjesztő linkekre kattintsanak – közölte a CSO Online kiberportál.

A legújabb támadás során az APT29 egy új malware droppert használt, amelyet GRAPELOADER néven ismerhetünk. A vírus kihasználja a DLL oldalsó betöltési sérülékenységet, hogy betöltse magát a rendszer memóriájába.

Az adathalász e-mailek – amelyek hamis borkóstoló rendezvények meghívójának álcázva érkeztek – egy távoli fájlra mutattak, amely a GRAPELOADER vírusokat tartalmazta.

Az e-mailek különböző európai diplomatákat céloztak, beleértve nem európai országok képviseleteit is. A támadás célja, hogy elérje a diplomaták számítógépeit, és adatokat gyűjtsön róluk, valamint hosszú távú hozzáférést biztosítson a támadók számára a célzott rendszerekhez.

A GRAPELOADER vírus egy előzőleg már ismert WINELOADER változatot használ, és folytatja azokat a taktikákat, amelyek az APT29 korábbi támadásaiban is jelen voltak.

A WINELOADER egy moduláris rosszindulatú program, amelyet először egy német politikai pártokat célzó kampány során fedeztek fel.

Bár a támadók továbbra is ezt a vírust használják, most egy új változatot is alkalmaznak, amely a vmtools.dll fájloldalú betöltésére épít. Ez a technika lehetővé teszi a kártékony kód betöltését a memóriába anélkül, hogy a célzott rendszer végrehajtó fájljai észlelnék a támadást.

A GRAPELOADER vírus tehát nemcsak az APT29 által korábban használt módszereket alkalmazza, hanem új megoldásokat is bevet, hogy megnehezítse a felderítést és a visszafejtést. A kutatók szerint a támadók a DLL betöltésének egyre gyakrabban alkalmazott technikáját használják, mivel így sikerül elkerülni a hagyományos biztonsági eszközök észlelését.

A legújabb kampányban alkalmazott módszerek hasonlóságot mutatnak az APT29 2024 márciusi adathalász támadásaival, amikor egy indiai nagykövetet céloztak meg. Az ilyen típusú kampányok célzottan diplomáciai képviseleteket, kormányzati szerveket, politikai pártokat támadnak, amelyek belső adatokat kezelnek.

A támadók az adatgyűjtés mellett képesek fenntartani a hosszú távú hozzáférést is, és a C2 (command-and-control) szerveren keresztül új parancsokat és kódokat tölthetnek le a rendszerekre.

A kiberfenyegetések fokozódása és az APT29 növekvő aktivitása azt jelzi, hogy az orosz állami kiberkémkedő csoportok továbbra is aktívan célozzák a diplomatákat és a kormányzati szerveket világszerte. Az egyre kifinomultabb támadási módszerek és a különböző eszközök, mint például a GRAPELOADER vírus, még nehezebbé teszik a biztonsági szakemberek dolgát a fenyegetések hatékony kezelésében.

A szakértők szerint a folyamatosan frissülő támadási taktikák és eszközök azt mutatják, hogy a kiberháború eszközei egyre inkább az államok kezében összpontosulnak, és a diplomáciai és kormányzati intézmények védelme kiemelt fontosságúvá válik a jövőben. A szervezeteknek folyamatosan figyelemmel kell kísérniük az új fenyegetéseket, és a legmodernebb biztonsági protokollokkal kell védeniük rendszereiket.

A kiemelt kép illusztráció. (Fotó: Shutterstock)