GRAPELOADER Зловреден софтуер
Руската държавна хакерска група APT29, известна още като Cosy Bear или Midnight Blizzard, стартира нова фишинг кампания, насочена към дипломатически институции в цяла Европа. Тази кампания използва преработена версия на WINELOADER Backdoor и новооткрит зареждащ зловреден софтуер, GRAPELOADER. Нападателите използват убедителни имейл примамки, за да подмамят получателите да изпълнят заплашителен ZIP архив, маскиран като покана за събитие за дегустация на вино.
Съдържание
Запознайте се с този зловреден софтуер: GRAPELOADER и WINELOADER
Докато WINELOADER действа като модулна задна врата в по-късните етапи на заразяване, GRAPELOADER е предпочитаният инструмент за началния етап. Дръжки на GRAPELOADER:
- Системен пръстов отпечатък
- Устойчивост чрез модификации на системния регистър на Windows
- Доставка на полезен товар до заразени хостове
След като се постигне устойчивост на GRAPELOADER, злонамереният софтуер влиза в безкраен цикъл, достигайки до своя сървър за командване и управление (C2) на всеки 60 секунди. По време на първоначалната си комуникация той събира ключови системни подробности като потребителско име, име на компютър, име на процес и идентификатор на процеса. Тази информация се пакетира заедно с твърдо кодиран шестнадесетичен низ от 64 знака – вероятно служещ като идентификатор на кампания или версия – и се предава на C2 сървъра чрез HTTPS POST заявка.
Въпреки различните си роли и двата инструмента споделят подобни структури на код и използват усъвършенствани техники за обфускация, включително криптиране на низове и разрешаване на API по време на изпълнение. GRAPELOADER се счита за по-скрит наследник на ROOTSAW, по-стар HTA downloader.
Тактическа измама: от примамки за дегустация на вино до изпълнение на зловреден софтуер
Фишинг имейлите, идващи от домейните bakenhof.com и silry.com, се представят за европейско министерство на външните работи и канят получателите на фалшиво събитие за дегустация на вино. Прикаченият ZIP архив wine.zip съдържа три ключови файла:
- AppvIsvSubsystems64.dll – Зависимост, използвана за странично зареждане на DLL
- wine.exe – легитимен изпълним файл на PowerPoint, използван за стартиране на зловреден софтуер
- ppcore.dll – Злонамерената DLL (GRAPELOADER), стартирана чрез странично зареждане
Веднъж изпълнен, злонамереният софтуер гарантира устойчивост, като модифицира системния регистър, за да стартира wine.exe при всяко зареждане на системата.
По-широка мрежа: отвъд границите на Европа
Кампанията е насочена основно към европейските министерства на външните работи и посолства. Въпреки това, доказателства сочат, че дипломатическият персонал, разположен в Близкия изток, също може да бъде на прицела. Изследователите отбелязват, че GRAPELOADER не само ексфилтрира системни данни към външен сървър, но също така проправя пътя за доставяне на WINELOADER като основен полезен товар. Появиха се актуализирани версии на WINELOADER със съвпадащи времеви отпечатъци на компилация, което допълнително обвързва семейството на зловреден софтуер.
Заключение: Ролята на GRAPELOADER в арсенала на APT29
Чрез замяната на по-старите инструменти с GRAPELOADER, APT29 демонстрира непрекъснатите си иновации в кибер шпионажа. Тази кампания илюстрира как усъвършенстваното социално инженерство, съчетано със скрит дизайн на злонамерен софтуер, остава мощна стратегия за проникване в правителствени цели с висока стойност.
