Κακόβουλο λογισμικό GRAPELOADER
Η υποστηριζόμενη από το κράτος ομάδα hacking APT29, γνωστή και ως Cozy Bear ή Midnight Blizzard, ξεκίνησε μια νέα εκστρατεία phishing που στοχεύει διπλωματικές οντότητες σε όλη την Ευρώπη. Αυτή η καμπάνια χρησιμοποιεί μια επεξεργασμένη έκδοση του WINELOADER Backdoor και ένα πρόγραμμα φόρτωσης κακόβουλου λογισμικού που ανακαλύφθηκε πρόσφατα, το GRAPELOADER. Οι εισβολείς χρησιμοποιούν πειστικά θέλγητρα ηλεκτρονικού ταχυδρομείου για να ξεγελάσουν τους παραλήπτες να εκτελέσουν ένα απειλητικό αρχείο ZIP που μεταμφιέζεται ως πρόσκληση σε μια εκδήλωση γευσιγνωσίας κρασιού.
Πίνακας περιεχομένων
Γνωρίστε αυτό το κακόβουλο λογισμικό: GRAPELOADER και WINELOADER
Ενώ το WINELOADER λειτουργεί ως σπονδυλωτή κερκόπορτα στα τελευταία στάδια μόλυνσης, το GRAPELOADER είναι το εργαλείο επιλογής για το αρχικό στάδιο. Χειρολαβές GRAPELOADER:
- Δακτυλικό αποτύπωμα συστήματος
- Εμμονή μέσω τροποποιήσεων μητρώου των Windows
- Παράδοση ωφέλιμου φορτίου σε μολυσμένους κεντρικούς υπολογιστές
Μόλις επιτευχθεί η επιμονή του GRAPELOADER, το κακόβουλο λογισμικό εισέρχεται σε έναν ατελείωτο βρόχο, προσεγγίζοντας τον διακομιστή του Command-and-Control (C2) κάθε 60 δευτερόλεπτα. Κατά την αρχική του επικοινωνία, συγκεντρώνει βασικές λεπτομέρειες του συστήματος, όπως το UserName, το ComputerName, το ProcessName και το ProcessPID. Αυτές οι πληροφορίες συσκευάζονται μαζί με μια δεκαεξαδική συμβολοσειρά 64 χαρακτήρων με σκληρό κώδικα—που πιθανότατα χρησιμεύει ως αναγνωριστικό καμπάνιας ή έκδοσης—και μεταδίδεται στον διακομιστή C2 μέσω αιτήματος HTTPS POST.
Παρά τους διαφορετικούς ρόλους τους, και τα δύο εργαλεία μοιράζονται παρόμοιες δομές κώδικα και χρησιμοποιούν προηγμένες τεχνικές συσκότισης, συμπεριλαμβανομένης της κρυπτογράφησης συμβολοσειρών και της επίλυσης API χρόνου εκτέλεσης. Το GRAPELOADER θεωρείται ένας πιο κρυφός διάδοχος του ROOTSAW, ενός παλαιότερου προγράμματος λήψης HTA.
Τακτική εξαπάτηση: Από τα θέλγητρα για γευσιγνωσία κρασιού έως την εκτέλεση κακόβουλου λογισμικού
Τα email phishing, που προέρχονται από τους τομείς bakenhof.com και silry.com, υποδύονται ένα Ευρωπαϊκό Υπουργείο Εξωτερικών και προσκαλούν τους παραλήπτες σε μια ψεύτικη εκδήλωση γευσιγνωσίας κρασιού. Το συνημμένο αρχείο ZIP, wine.zip, περιέχει τρία βασικά αρχεία:
- AppvIsvSubsystems64.dll – Μια εξάρτηση που χρησιμοποιείται για πλευρική φόρτωση DLL
- wine.exe – Ένα νόμιμο εκτελέσιμο PowerPoint που χρησιμοποιείται για την εκκίνηση κακόβουλου λογισμικού
- ppcore.dll – Το κακόβουλο DLL (GRAPELOADER) εκκινήθηκε μέσω sideloading
Μόλις εκτελεστεί, το κακόβουλο λογισμικό διασφαλίζει την επιμονή τροποποιώντας το μητρώο ώστε να εκτελείται το wine.exe σε κάθε εκκίνηση συστήματος.
Ένα ευρύτερο δίχτυ: πέρα από τα σύνορα της Ευρώπης
Η εκστρατεία στοχεύει κυρίως τα ευρωπαϊκά Υπουργεία Εξωτερικών και τις πρεσβείες. Ωστόσο, τα στοιχεία δείχνουν ότι στο στόχαστρο μπορεί να βρίσκεται και διπλωματικό προσωπικό που εδρεύει στη Μέση Ανατολή. Οι ερευνητές σημείωσαν ότι το GRAPELOADER όχι μόνο διεγείρει δεδομένα συστήματος σε έναν εξωτερικό διακομιστή, αλλά ανοίγει επίσης τον δρόμο για την παράδοση του WINELOADER ως κύριου ωφέλιμου φορτίου. Έχουν εμφανιστεί ενημερωμένες εκδόσεις του WINELOADER με αντίστοιχες χρονικές σημάνσεις συλλογής, συνδέοντας περαιτέρω την οικογένεια κακόβουλου λογισμικού.
Συμπέρασμα: Ο ρόλος του GRAPELOADER στην Άρσεναλ της APT29
Αντικαθιστώντας παλαιότερα εργαλεία με το GRAPELOADER, το APT29 προβάλλει τη συνεχή καινοτομία του στην κατασκοπεία στον κυβερνοχώρο. Αυτή η καμπάνια δείχνει πώς η εξελιγμένη κοινωνική μηχανική, σε συνδυασμό με τον κρυφό σχεδιασμό κακόβουλου λογισμικού, παραμένει μια ισχυρή στρατηγική για τη διείσδυση σε κυβερνητικούς στόχους υψηλής αξίας.
