عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج GRAPELOADER الخبيث

برنامج GRAPELOADER الخبيث

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT)
ترجمة الى:
العربية

أطلقت مجموعة القرصنة الروسية المدعومة من الدولة APT29، والمعروفة أيضًا باسم Cozy Bear أو Midnight Blizzard، حملة تصيد احتيالي جديدة تستهدف الهيئات الدبلوماسية في جميع أنحاء أوروبا. تستخدم هذه الحملة نسخة مُعدّلة من الباب الخلفي WINELOADER ، بالإضافة إلى مُحمّل برمجيات خبيثة مُكتشف حديثًا يُدعى GRAPELOADER. يستخدم المهاجمون رسائل بريد إلكتروني مُغرية لخداع المُستلِمين ودفعهم إلى فتح ملف ZIP مُهدد مُتنكرًا على أنه دعوة لحضور فعالية تذوق نبيذ.

تعرف على هذه البرامج الضارة: GRAPELOADER وWINELOADER

بينما يعمل WINELOADER كبوابة خلفية معيارية في المراحل المتأخرة من العدوى، يُعد GRAPELOADER الأداة المُفضّلة في المرحلة الأولية. يتعامل GRAPELOADER مع:

  • بصمة النظام
  • الاستمرارية من خلال تعديلات سجل Windows
  • تسليم الحمولة إلى المضيفين المصابين

بمجرد تحقيق استمرارية GRAPELOADER، يدخل البرنامج الخبيث في حلقة لا نهائية، ويتصل بخادم القيادة والتحكم (C2) الخاص به كل 60 ثانية. خلال اتصاله الأولي، يجمع تفاصيل النظام الرئيسية مثل اسم المستخدم، واسم الكمبيوتر، واسم العملية، ومعرف عملية العملية. تُجمع هذه المعلومات مع سلسلة نصية سداسية عشرية مُبرمجة مسبقًا من 64 حرفًا - تُستخدم على الأرجح كمعرّف للحملة أو الإصدار - وتُرسل إلى خادم القيادة والتحكم (C2) عبر طلب HTTPS POST.

على الرغم من اختلاف أدوارهما، تشترك كلتا الأداتين في بنية برمجية متشابهة وتستخدمان تقنيات تشويش متقدمة، بما في ذلك تشفير السلاسل النصية وحل واجهات برمجة التطبيقات (API) وقت التشغيل. يُعتبر GRAPELOADER خليفةً أكثر سريةً لـ ROOTSAW، وهو برنامج تنزيل HTA أقدم.

الخداع التكتيكي: من إغراءات تذوق النبيذ إلى تنفيذ البرامج الضارة

رسائل التصيد الاحتيالي، الصادرة من نطاقي bakenhof.com وsilry.com، تنتحل صفة وزارة خارجية أوروبية وتدعو المتلقين لحضور فعالية تذوق نبيذ مزيفة. يحتوي ملف zip المرفق، wine.zip، على ثلاثة ملفات رئيسية:

  • AppvIsvSubsystems64.dll – تبعية تُستخدم للتحميل الجانبي لملفات DLL
  • wine.exe – ملف PowerPoint قابل للتنفيذ بشكل شرعي يتم استغلاله لإطلاق البرامج الضارة
  • ppcore.dll – ملف DLL الخبيث (GRAPELOADER) الذي تم تشغيله من خلال التحميل الجانبي

بمجرد تنفيذه، يضمن البرنامج الخبيث الاستمرار من خلال تعديل السجل لتشغيل wine.exe في كل مرة يتم فيها تشغيل النظام.

شبكة أوسع: ما وراء حدود أوروبا

تستهدف الحملة في المقام الأول وزارات الخارجية والسفارات الأوروبية. ومع ذلك، تشير الأدلة إلى أن الموظفين الدبلوماسيين العاملين في الشرق الأوسط قد يكونون أيضًا في مرمى النيران. لاحظ الباحثون أن GRAPELOADER لا يكتفي بتسريب بيانات النظام إلى خادم خارجي، بل يُمهد الطريق أيضًا لتوزيع WINELOADER كحمولة رئيسية. وقد ظهرت إصدارات محدثة من WINELOADER بتواريخ تجميع مطابقة، مما يزيد من ارتباط عائلة البرامج الضارة ببعضها.

الاستنتاج: دور GRAPELOADER في ترسانة APT29

باستبدالها الأدوات القديمة بـ GRAPELOADER، تُبرز APT29 ابتكاراتها المستمرة في مجال التجسس الإلكتروني. تُجسّد هذه الحملة كيف تُشكّل الهندسة الاجتماعية المتطورة، إلى جانب تصميم البرمجيات الخبيثة الخفية، استراتيجيةً فعّالة للتسلل إلى أهداف حكومية بالغة الأهمية.

الشائع

Unclaimed Prize Email Scam

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يتطلب تصفح الإنترنت بأمان وعيًا مستمرًا، إذ يسعى المحتالون دائمًا إلى طرق جديدة لاستغلال المستخدمين الغافلين. ومن بين هذه المخططات الاحتيالية، عملية الاحتيال عبر البريد الإلكتروني بالجوائز غير المستلمة، وهي حيلة خادعة مصممة لجمع المعلومات الشخصية والأموال. يستغل هذا التكتيك، من خلال انتحاله صفة إشعار جائزة حقيقية، الإثارة والفضول، مما يؤدي في النهاية إلى وقوع الضحايا في فخ الاحتيال المالي...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
31,593
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...