بدافزار GRAPELOADER

گروه هکری تحت حمایت دولت روسیه APT29 که با نام‌های Cozy Bear یا Midnight Blizzard نیز شناخته می‌شود، کمپین فیشینگ جدیدی را با هدف هدف قرار دادن نهادهای دیپلماتیک در سراسر اروپا راه‌اندازی کرده است. این کمپین از یک نسخه بازسازی شده از WINELOADER Backdoor و یک بارکننده بدافزار تازه کشف شده، GRAPELOADER استفاده می کند. مهاجمان از فریب های ایمیل قانع کننده استفاده می کنند تا گیرندگان را فریب دهند تا یک آرشیو ZIP تهدیدآمیز را که به عنوان دعوت نامه ای برای یک رویداد مزه شراب پنهان شده است، اجرا کنند.

با این بدافزار آشنا شوید: GRAPELOADER و WINELOADER

در حالی که WINELOADER به عنوان یک درب پشتی مدولار در مراحل بعدی عفونت عمل می کند، GRAPELOADER ابزار انتخابی برای مرحله اولیه است. دسته GRAPELOADER:

• انگشت نگاری سیستم
• ماندگاری از طریق تغییرات رجیستری ویندوز
• تحویل بار به میزبان آلوده

هنگامی که پایداری GRAPELOADER به دست آمد، بدافزار وارد یک حلقه بی پایان می شود و هر 60 ثانیه به سرور Command-and-Control (C2) دسترسی پیدا می کند. در طول ارتباط اولیه خود، جزئیات کلیدی سیستم مانند UserName، ComputerName، ProcessName و ProcessPID را جمع آوری می کند. این اطلاعات همراه با یک رشته هگزا دسیمال 64 کاراکتری کدگذاری سخت بسته بندی می شود - احتمالاً به عنوان یک کمپین یا شناسه نسخه خدمت می کند - و از طریق یک درخواست HTTPS POST به سرور C2 منتقل می شود.

با وجود نقش‌های متفاوت، هر دو ابزار ساختارهای کد مشابهی را به اشتراک می‌گذارند و از تکنیک‌های مبهم‌سازی پیشرفته، از جمله رمزگذاری رشته و حل‌وفصل API در زمان اجرا استفاده می‌کنند. GRAPELOADER جانشین مخفی‌تری برای ROOTSAW، یک دانلودکننده قدیمی‌تر HTA در نظر گرفته می‌شود.

فریب تاکتیکی: از فریب های طعم شراب تا اجرای بدافزار

ایمیل‌های فیشینگ که از دامنه‌های bakenhof.com و silry.com سرچشمه می‌گیرند، جعل وزارت امور خارجه اروپا هستند و گیرندگان را به یک رویداد مزه شراب جعلی دعوت می‌کنند. آرشیو ZIP پیوست شده، wine.zip، حاوی سه فایل کلیدی است:

• AppvIsvSubsystems64.dll – وابستگی مورد استفاده برای بارگذاری جانبی DLL
• wine.exe – یک فایل اجرایی پاورپوینت قانونی که برای راه اندازی بدافزار مورد سوء استفاده قرار می گیرد
• ppcore.dll – DLL مخرب (GRAPELOADER) از طریق بارگذاری جانبی راه اندازی شد

پس از اجرا، بدافزار با تغییر رجیستری برای اجرای wine.exe در هر بوت سیستم، ماندگاری را تضمین می کند.

شبکه گسترده تر: فراتر از مرزهای اروپا

این کمپین عمدتاً وزارتخانه های امور خارجه و سفارتخانه های اروپایی را هدف قرار می دهد. با این حال، شواهد نشان می دهد که پرسنل دیپلماتیک مستقر در خاورمیانه نیز ممکن است در تیررس قرار داشته باشند. محققان خاطرنشان کردند که GRAPELOADER نه تنها داده های سیستم را به یک سرور خارجی استخراج می کند، بلکه راه را برای تحویل WINELOADER به عنوان محموله اصلی هموار می کند. نسخه‌های به‌روزرسانی‌شده WINELOADER با مُهرهای زمان تلفیقی منطبق ظاهر شده‌اند که خانواده بدافزار را بیشتر به هم پیوند می‌دهد.

نتیجه: نقش GRAPELOADER در آرسنال APT29

با جایگزینی ابزارهای قدیمی با GRAPELOADER، APT29 نوآوری مستمر خود را در جاسوسی سایبری به نمایش می گذارد. این کمپین نشان می‌دهد که چگونه مهندسی اجتماعی پیچیده، همراه با طراحی بدافزار مخفی، یک استراتژی قوی برای نفوذ به اهداف دولتی با ارزش بالا باقی می‌ماند.