Programari maliciós GRAPELOADER
El grup de pirateria informàtica rus APT29, també conegut com Cozy Bear o Midnight Blizzard, ha llançat una nova campanya de pesca dirigida a entitats diplomàtiques d'Europa. Aquesta campanya utilitza una versió reelaborada de la porta posterior WINELOADER i un carregador de programari maliciós recentment descobert, GRAPELOADER. Els atacants utilitzen convincents esquers de correu electrònic per enganyar els destinataris perquè executin un arxiu ZIP amenaçador disfressat com una invitació a un esdeveniment de tast de vins.
Taula de continguts
Coneix aquest programari maliciós: GRAPELOADER i WINELOADER
Mentre que WINELOADER actua com una porta posterior modular en les últimes etapes de la infecció, GRAPELOADER és l'eina preferida per a l'etapa inicial. mànecs GRAPELOADER:
- Sistema d'empremtes digitals
- Persistència mitjançant modificacions del Registre de Windows
- Lliurament de càrrega útil als amfitrions infectats
Un cop s'aconsegueix la persistència de GRAPELOADER, el programari maliciós entra en un bucle sense fi, arribant al seu servidor de comandament i control (C2) cada 60 segons. Durant la seva comunicació inicial, recopila detalls clau del sistema, com ara el nom d'usuari, el nom de l'ordinador, el nom del procés i el nom del procés. Aquesta informació s'empaqueta juntament amb una cadena hexadecimal de 64 caràcters codificada, que probablement serveix com a identificador de campanya o versió, i es transmet al servidor C2 mitjançant una sol·licitud HTTPS POST.
Malgrat les seves diferents funcions, ambdues eines comparteixen estructures de codi similars i utilitzen tècniques d'ofuscació avançades, com ara el xifratge de cadenes i la resolució d'API en temps d'execució. GRAPELOADER es considera un successor més furtiu de ROOTSAW, un descarregador HTA més antic.
Engany tàctic: des d’esquers per degustar vins fins a l’execució de programari maliciós
Els correus electrònics de pesca, provinents dels dominis bakenhof.com i silry.com, suplanten la identitat d'un ministeri europeu d'Afers Exteriors i conviden els destinataris a un esdeveniment de tast de vins fals. L'arxiu ZIP adjunt, wine.zip, conté tres fitxers clau:
- AppvIsvSubsystems64.dll : una dependència que s'utilitza per a la càrrega lateral de DLL
- wine.exe : un executable legítim de PowerPoint explotat per llançar programari maliciós
- ppcore.dll : la DLL maliciosa (GRAPELOADER) llançada mitjançant la càrrega lateral
Un cop executat, el programari maliciós garanteix la persistència modificant el registre per executar wine.exe a cada arrencada del sistema.
Una xarxa més àmplia: més enllà de les fronteres d’Europa
La campanya s'adreça principalment als Ministeris d'Afers Exteriors i ambaixades europeus. Tanmateix, les proves suggereixen que el personal diplomàtic estacionat a l'Orient Mitjà també pot estar en el punt de mira. Els investigadors van assenyalar que GRAPELOADER no només exfiltra les dades del sistema a un servidor extern, sinó que també obre el camí per lliurar WINELOADER com a càrrega útil principal. Han aparegut versions actualitzades de WINELOADER amb segells de temps de compilació coincidents, que uneixen encara més la família de programari maliciós.
Conclusió: el paper de GRAPELOADER a l’Arsenal d’APT29
En substituir eines antigues per GRAPELOADER, APT29 mostra la seva contínua innovació en ciberespionatge. Aquesta campanya exemplifica com l'enginyeria social sofisticada, juntament amb un disseny de programari maliciós furtiu, segueix sent una estratègia potent per infiltrar-se en objectius governamentals d'alt valor.
