GRAPELOADER Malware
Den russiske statsstøttede hackergruppe APT29, også kendt som Cozy Bear eller Midnight Blizzard, har lanceret en ny phishing-kampagne rettet mod diplomatiske enheder i hele Europa. Denne kampagne anvender en omarbejdet version af WINELOADER Backdoor og en nyopdaget malware-indlæser, GRAPELOADER. Angriberne bruger overbevisende e-mail lokker til at narre modtagere til at udføre et truende ZIP-arkiv forklædt som en invitation til en vinsmagning.
Indholdsfortegnelse
Mød denne malware: GRAPELOADER og WINELOADER
Mens WINELOADER fungerer som en modulær bagdør i de senere stadier af infektion, er GRAPELOADER det foretrukne værktøj til den indledende fase. GRAPELOADER håndtag:
- System fingeraftryk
- Vedholdenhed via ændringer i Windows registreringsdatabasen
- Levering af nyttelast til inficerede værter
Når først GRAPELOADER's vedholdenhed er opnået, går malwaren ind i en endeløs løkke og når ud til dens Command-and-Control (C2) server hvert 60. sekund. Under sin indledende kommunikation indsamler den vigtige systemdetaljer såsom brugernavn, computernavn, procesnavn og procesPID. Disse oplysninger pakkes sammen med en hårdkodet 64-tegns hexadecimal streng – der sandsynligvis fungerer som en kampagne- eller versionsidentifikator – og sendes til C2-serveren via en HTTPS POST-anmodning.
På trods af deres forskellige roller deler begge værktøjer lignende kodestrukturer og anvender avancerede sløringsteknikker, herunder strengkryptering og runtime API-løsning. GRAPELOADER betragtes som en mere snigende efterfølger til ROOTSAW, en ældre HTA-downloader.
Taktisk bedrag: Fra vinsmagning lokker til udførelse af malware
Phishing-e-mails, der stammer fra domænerne bakenhof.com og silry.com, efterligner et europæisk udenrigsministerium og inviterer modtagere til en falsk vinsmagning. Det vedhæftede ZIP-arkiv, wine.zip, indeholder tre nøglefiler:
- AppvIsvSubsystems64.dll – En afhængighed, der bruges til DLL-sideindlæsning
- wine.exe – En legitim eksekverbar PowerPoint-fil, der udnyttes til at starte malware
- ppcore.dll – Den ondsindede DLL (GRAPELOADER) lanceret gennem sideloading
Når den er udført, sikrer malwaren vedholdenhed ved at ændre registreringsdatabasen til at køre wine.exe ved hver systemstart.
A Wider Net: Beyond Europe's Borders
Kampagnen er primært rettet mod europæiske udenrigsministerier og ambassader. Beviser tyder dog på, at diplomatisk personale udstationeret i Mellemøsten også kan være i trådkorset. Forskere bemærkede, at GRAPELOADER ikke kun eksfiltrerer systemdata til en ekstern server, men også baner vejen for at levere WINELOADER som den primære nyttelast. Opdaterede versioner af WINELOADER med matchende kompileringstidsstempler er dukket op, hvilket yderligere binder malware-familien sammen.
Konklusion: GRAPELOADER's rolle i APT29's Arsenal
Ved at erstatte ældre værktøjer med GRAPELOADER fremviser APT29 sin kontinuerlige innovation inden for cyberspionage. Denne kampagne eksemplificerer, hvordan sofistikeret social engineering, kombineret med snigende malware-design, forbliver en potent strategi til at infiltrere højværdi regeringsmål.
