ロシアのハッカーグループが欧州外交官へ偽ワイン会のフィッシングメールを送信

ロシア政府とつながりのある高度なサイバー攻撃グループAPT29が、欧州各国の外交官を標的に新たなフィッシングキャンペーンを展開していることが、Check Point Researchの調査で明らかになりました。このキャンペーンでは、外交晩餐会やで「ワインのテイスティングイベント」への招待メールを装い、マルウェア「GRAPELOADER」および新バージョンの「WINELOADER」を用いて標的の環境に侵入します。

攻撃手法の概要

この攻撃は2025年1月から開始され、欧州各国の外務省や駐欧外国大使館が主な標的とされました。偽の招待メールにはマルウェアを含むZIPファイルへのリンクが含まれており、これを開くとPowerPoint実行ファイルを装った「wine.exe」などが実行され、マルウェアが展開されます。

主なメール件名は以下の通りです

• Wine Event

• Wine Tasting Event (updated)

• Diplomatic Dinner

GRAPELOADER：初期侵入を担う新ツール

GRAPELOADERは感染環境の指紋収集、永続化の確立、次段階のペイロード配信といった初期侵入に特化したマルウェアです。PowerPointのDLLサイドローディング技術を活用して実行され、暗号化された通信を通じてC2（コマンド＆コントロール）サーバと連携します。

主な特徴：

• RC4暗号を用いた通信と文字列の難読化

• DLLアンフックとAPI動的解決による解析回避

• メモリ内にペイロードを配置し、スキャン回避後に復号・実行

新バージョンのWINELOADER

GRAPELOADERによって配信されるWINELOADERは、APT29が従来より使用していたバックドアであり、今回新たなステルス機能と難読化が施されたバージョンが確認されました。自己展開やC2通信もRC4暗号化されており、解析を困難にする対策が強化されています。

技術的関連性と攻撃の進化

GRAPELOADERと新WINELOADERには多くのコード的類似点があり、同一の開発基盤で作成されたと考えられています。DLLファイルの共通構造やRC4キーの一致などから、連携して機能する高度なマルウェアチェーンが構築されていることが示唆されます。

セキュリティ上の懸念と対策

APT29は、SolarWinds攻撃でも知られる高度な国家支援型攻撃者であり、今回のような外交官を標的としたキャンペーンは、国際情勢の不安定化を狙った情報収集活動の一環とみられます。

被害を防ぐためには以下の対策が求められます

• ワイン会など不自然なメール招待には注意

• ZIPファイルや不明リンクのクリックを回避

• アップデートされたEDR、アンチボット対策製品の導入

• フィッシングメールの訓練と社員教育の徹底

なお、Check PointのHarmony EndpointやThreat Emulationは、このマルウェアに対する防御を提供しているとしています。