【安全资讯】俄罗斯利用假酒会邀请诱骗外交官下载恶意软件

概要：

俄罗斯的网络间谍组织Cozy Bear（APT 29）再次利用其惯用的策略，试图通过假酒会邀请引诱欧洲外交官下载恶意软件。此次事件不仅展示了网络攻击的复杂性，也凸显了针对高层外交人员的网络安全威胁的重要性。

主要内容：

Cozy Bear的最新攻击手法是通过伪装成某欧洲国家外交部的邮件，向外交官发送酒会邀请。邮件主题包括“酒会活动（更新日期）”、“大使日历”以及“外交晚宴”。如果目标未及时回复，攻击者还会发送后续邮件，进一步施压。邮件中的链接指向一个远程服务器，点击后会下载名为wine.zip的压缩文件。

wine.zip内含有三个文件，其中一个是合法的PowerPoint可执行文件wine.exe，利用DLL侧载技术进行攻击。另一个隐藏的DLL文件AppvIsvSubsystems64.dll则充满了无用代码，仅作为PowerPoint执行的依赖项。最关键的是，名为ppcore.dll的DLL文件作为Grapeloader，负责在后续攻击阶段传递Wineloader。Grapeloader会将压缩包内容复制到受害者的硬盘，并修改Windows注册表以确保持久性。

该恶意软件每60秒向Cozy Bear的指挥控制服务器发送信息，获取执行指令，并可能接收更新版本的Wineloader。新版本的Wineloader是一种64位的特洛伊木马DLL文件，能够从感染的计算机中收集数据，并通过RC4加密后发送回指挥控制服务器。Check Point的分析表明，Cozy Bear与俄罗斯政府密切相关，且该组织在网络间谍活动中历史悠久，曾参与2020年的SolarWinds黑客事件。