GRAPELOADER Malware
Ruská státem podporovaná hackerská skupina APT29, známá také jako Cozy Bear nebo Midnight Blizzard, zahájila novou phishingovou kampaň zaměřenou na diplomatické subjekty po celé Evropě. Tato kampaň využívá přepracovanou verzi WINELOADER Backdoor a nově objevený zavaděč malwaru, GRAPELOADER. Útočníci používají přesvědčivé e-mailové návnady, aby přiměli příjemce ke spuštění hrozivého ZIP archivu maskovaného jako pozvánka na akci s ochutnávkou vín.
Obsah
Seznamte se s tímto malwarem: GRAPELOADER a WINELOADER
Zatímco WINELOADER funguje jako modulární zadní vrátka v pozdějších fázích infekce, GRAPELOADER je nástroj volby pro počáteční fázi. rukojeti GRAPELOADER:
- Systémové otisky prstů
- Stálost prostřednictvím úprav registru Windows
- Doručování užitečné zátěže infikovaným hostitelům
Jakmile je dosaženo perzistence GRAPELOADER, malware vstoupí do nekonečné smyčky a každých 60 sekund se dostane na svůj server Command-and-Control (C2). Během své počáteční komunikace shromažďuje klíčové systémové detaily, jako je uživatelské jméno, název počítače, název procesu a PID procesu. Tyto informace jsou zabaleny spolu s pevně zakódovaným 64znakovým hexadecimálním řetězcem – pravděpodobně sloužící jako identifikátor kampaně nebo verze – a přeneseny na server C2 prostřednictvím požadavku HTTPS POST.
Navzdory jejich odlišným rolím oba nástroje sdílejí podobné struktury kódu a využívají pokročilé techniky zmatku, včetně šifrování řetězců a řešení runtime API. GRAPELOADER je považován za nenápadnějšího nástupce ROOTSAW, staršího stahovače HTA.
Taktický podvod: Od návnad na ochutnávání vína po popravu malwaru
Phishingové e-maily pocházející z domén bakenhof.com a silry.com se vydávají za evropské ministerstvo zahraničních věcí a zvou příjemce na falešnou ochutnávku vína. Přiložený archiv ZIP, wine.zip, obsahuje tři klíčové soubory:
- AppvIsvSubsystems64.dll – Závislost používaná pro boční načítání DLL
- wine.exe – legitimní spustitelný soubor PowerPoint zneužitý ke spouštění malwaru
- ppcore.dll – Škodlivá knihovna DLL (GRAPELOADER) spuštěná prostřednictvím bočního načítání
Po spuštění zajistí malware trvalost úpravou registru tak, aby spouštěl wine.exe při každém spuštění systému.
A Wider Net: Beyond Europe's Borders
Kampaň cílí především na evropská ministerstva zahraničních věcí a ambasády. Důkazy však naznačují, že v hledáčku může být i diplomatický personál umístěný na Blízkém východě. Výzkumníci poznamenali, že GRAPELOADER nejen exfiltruje systémová data na externí server, ale také připravuje cestu pro poskytování WINELOADER jako primárního užitečného zatížení. Objevily se aktualizované verze WINELOADER s odpovídajícími časovými razítky kompilace, které dále spojují rodinu malwaru dohromady.
Závěr: Role GRAPELOADER v arzenálu APT29
Nahrazením starších nástrojů za GRAPELOADER předvádí APT29 své neustálé inovace v oblasti kybernetické špionáže. Tato kampaň je příkladem toho, jak sofistikované sociální inženýrství ve spojení s nenápadným designem malwaru zůstává účinnou strategií pro infiltraci vysoce hodnotných vládních cílů.
