午夜暴雪(APT29/Cozy Bear)以伪装成品酒邀请函的复杂钓鱼邮件为目标，攻击欧洲各国大使馆和外交部。了解此次攻击活动中部署的新型GrapeLoader恶意软件及其更新的WineLoader后门。

 

臭名昭著的俄罗斯政府支持的黑客组织午夜暴风雪(APT29)或舒适熊(Cozy Bear)自1月以来一直试图侵入欧洲外交官的计算机系统，向欧洲各地的大使馆和外交机构发送虚假电子邮件。

一直在追踪这一活动的Check Point Research(CPR)研究人员发现，黑客正在使用一种名为“GrapeLoader”的新恶意软件进入系统，然后在进入系统后安装一个名为“WineLoader”的更新、更隐蔽的后门程序版本。

攻击始于看似来自某国外交部的官方邀请函的电子邮件，邀请人们参加品酒活动。Check Point的分析显示，几乎所有电子邮件都以品酒活动为主题，如果第一封电子邮件失效，黑客就会发送更多邮件来欺骗用户。

Zscaler在2024年2月记录了这一活动“似乎是之前利用名为WINELOADER的后门活动的延续” 。

这些电子邮件由两个网站地址bakenhofcom和发送，silrycom其中包含一个恶意链接，该链接会启动名为“ ”的文件的下载wine.zip。打开后，它会运行三个文件，包括一个名为“ppcore.dll”的伪装文件，该文件充当GrapeLoader程序。

GrapeLoader会将“wine.zip”文件的内容复制到计算机硬盘上的新位置，并更改计算机设置，使其每次开机时自动运行名为“wine.exe”的程序，以确保黑客始终保持访问权限。需要注意的是，黑客的目标是欧洲各国外交部和大使馆。

WineLoader后门是一款复杂的工具，旨在从受感染的计算机收集敏感信息，协助黑客进行网络间谍活动。研究人员发现，由于其代码隐藏技术，新版本更难检测，而旧版本则相对容易使用自动化工具进行分析。

该后门程序会收集计算机的IP地址、程序名称、Windows用户名和进程ID等信息。CPR在其博客文章中强调，Midnight Blizzard此前曾利用该后门程序针对外交官进行黑客攻击。

研究人员称，GrapeLoader是一款相对较新的工具，在此次攻击的早期阶段用于收集受感染计算机的信息，确保黑客能够保持访问权限，并下载下一阶段的攻击工具——WineLoader后门。GrapeLoader使用各种技巧来规避安全工具的检测，例如在代码中隐藏文本以及在运行时查找必要的计算机函数。

此次行动凸显了网络间谍活动的不断演变，以及民族国家行为体对外交通信和系统构成的持续威胁。这一发现提醒外交机构保持警惕，实施更强有力的网络安全措施，并教育其工作人员防范复杂的网络钓鱼攻击的风险。