GRAPELOADER Pahavara
Venemaa riiklikult toetatav häkkimisrühmitus APT29, tuntud ka kui Cozy Bear või Midnight Blizzard, on käivitanud uue andmepüügikampaania, mis on suunatud diplomaatilisi üksusi üle kogu Euroopa. See kampaania kasutab WINELOADER Backdoori ümbertöödeldud versiooni ja äsja avastatud pahavara laadijat GRAPELOADER. Ründajad kasutavad veenvaid meilipeibutusi, et meelitada adressaate käivitama ähvardavat ZIP-arhiivi, mis on maskeeritud kutsena veini degusteerimisüritusele.
Sisukord
Tutvuge selle pahavaraga: GRAPELOADER ja WINELOADER
Kui WINELOADER toimib nakatumise hilisemates staadiumides modulaarse tagauksena, siis GRAPELOADER on algfaasis valitud tööriist. GRAPELOADER käepidemed:
- Süsteemi sõrmejälgede võtmine
- Püsivus Windowsi registri muudatuste kaudu
- Kasuliku koorma kohaletoimetamine nakatunud hostidele
Kui GRAPELOADERi püsivus on saavutatud, siseneb pahavara lõputusse ahelasse, jõudes iga 60 sekundi järel oma Command-and-Control (C2) serverini. Esialgse suhtluse ajal kogub see võtmeid süsteemi üksikasjadest, nagu kasutajanimi, arvutinimi, protsessinimi ja protsessiPID. See teave pakitakse koos kõvakoodiga 64-kohalise kuueteistkümnendsüsteemi stringiga (mis toimib tõenäoliselt kampaania või versiooni identifikaatorina) ja edastatakse HTTPS POST-i päringu kaudu C2-serverisse.
Vaatamata nende erinevatele rollidele jagavad mõlemad tööriistad sarnaseid koodistruktuure ja kasutavad täiustatud hägustamistehnikaid, sealhulgas stringide krüptimist ja käitusaegse API lahendamist. GRAPELOADERit peetakse vanema HTA allalaadija ROOTSAW varjatumaks järglaseks.
Taktikaline pettus: alates veini degusteerimisest kuni pahavara täideviimiseni
Andmepüügimeilid, mis pärinevad domeenidest bakenhof.com ja silry.com, kehastavad Euroopa välisministeeriumi ja kutsuvad adressaate võltsveinide degusteerimisele. Lisatud ZIP-arhiiv, wine.zip, sisaldab kolme võtmefaili:
- AppvIsvSubsystems64.dll – DLL-i külglaadimiseks kasutatav sõltuvus
- wine.exe – seaduslik PowerPointi käivitatav fail, mida kasutatakse pahavara käivitamiseks
- ppcore.dll – külglaadimise kaudu käivitatud pahatahtlik DLL (GRAPELOADER).
Pärast käivitamist tagab pahavara püsivuse, muutes registrit, et käitada Win.exe iga süsteemi alglaadimise korral.
Laiem võrk: väljaspool Euroopa piire
Kampaania on suunatud peamiselt Euroopa välisministeeriumidele ja saatkondadele. Tõendid viitavad aga sellele, et ka Lähis-Idas paiknevad diplomaatilised töötajad võivad olla sihtpunktis. Teadlased märkisid, et GRAPELOADER mitte ainult ei eksfiltreeri süsteemiandmeid välisserverisse, vaid sillutab teed ka WINELOADERi kui peamise kasuliku koorma edastamiseks. Ilmunud on WINELOADERi värskendatud versioonid koos sobivate kompileerimise ajatemplitega, mis seovad pahavara perekonda veelgi.
Järeldus: GRAPELOADERI roll APT29 arsenalis
Asendades vanemad tööriistad GRAPELOADER-iga, demonstreerib APT29 oma pidevat innovatsiooni küberspionaaži vallas. See kampaania näitab, kuidas keerukas sotsiaalne manipuleerimine koos salajase pahavara disainiga on endiselt tõhus strateegia kõrge väärtusega valitsuse sihtmärkidesse imbumisel.
