GRAPELOADER Haittaohjelma
Venäjän valtion tukema hakkerointiryhmä APT29, joka tunnetaan myös nimellä Cozy Bear tai Midnight Blizzard, on käynnistänyt uuden tietojenkalastelukampanjan, joka kohdistuu diplomaattisiin yksiköihin ympäri Eurooppaa. Tämä kampanja käyttää uudelleen muokattua versiota WINELOADER Backdoorista ja äskettäin löydettyä haittaohjelmien latausohjelmaa GRAPELOADER. Hyökkääjät käyttävät vakuuttavia sähköpostihousuja huijatakseen vastaanottajia toteuttamaan uhkaavan ZIP-arkiston, joka on naamioitu kutsuksi viininmaistajaistapahtumaan.
Sisällysluettelo
Tapaa tämä haittaohjelma: GRAPELOADER ja WINELOADER
Vaikka WINELOADER toimii modulaarisena takaovena tartunnan myöhemmissä vaiheissa, GRAPELOADER on valinta työkalu alkuvaiheessa. GRAPELOADER-kahvat:
- Järjestelmän sormenjälki
- Pysyvyys Windowsin rekisterimuutosten kautta
- Hyötykuorman toimitus tartunnan saaneille isännille
Kun GRAPELOADERin pysyvyys on saavutettu, haittaohjelma siirtyy loputtomaan silmukkaan ja tavoittaa Command-and-Control (C2) -palvelimensa 60 sekunnin välein. Alkuviestinnän aikana se kerää tärkeimmät järjestelmätiedot, kuten käyttäjänimen, tietokoneen nimen, prosessin nimen ja prosessinPID:n. Nämä tiedot pakataan yhdessä kovakoodatun 64-merkkisen heksadesimaalimerkkijonon kanssa, joka toimii todennäköisesti kampanja- tai versiotunnisteena, ja lähetetään C2-palvelimelle HTTPS POST -pyynnön kautta.
Eri rooleistaan huolimatta molemmilla työkaluilla on samanlaiset koodirakenteet ja ne käyttävät kehittyneitä hämärätekniikoita, kuten merkkijonosalausta ja ajonaikaista API-selvitystä. GRAPELOADERia pidetään ROOTSAW:n, vanhemman HTA-latausohjelman, salaperäisempänä seuraajana.
Taktinen petos: viininmaistajaisista vieheistä haittaohjelmien suorittamiseen
Verkkotunnuksista bakenhof.com ja silry.com peräisin olevat tietojenkalasteluviestit esiintyvät Euroopan ulkoministeriönä ja kutsuvat vastaanottajia väärennettyyn viininmaistajaistapahtumaan. Liitteenä oleva ZIP-arkisto, wine.zip, sisältää kolme avaintiedostoa:
- AppvIsvSubsystems64.dll – DLL-sivulataukseen käytetty riippuvuus
- wine.exe – Aito PowerPoint-suoritettava tiedosto, jota käytetään hyväksi haittaohjelmien käynnistämiseen
- ppcore.dll – Haitallinen DLL (GRAPELOADER) käynnistettiin sivulatauksen kautta
Kun haittaohjelma on suoritettu, se varmistaa pysyvyyden muokkaamalla rekisteriä suorittamaan wine.exe jokaisessa järjestelmän käynnistyksessä.
Laajempi verkko: Euroopan rajojen yli
Kampanja on suunnattu ensisijaisesti Euroopan ulkoministeriöille ja suurlähetystöille. Todisteet viittaavat kuitenkin siihen, että myös Lähi-itään sijoitettu diplomaattinen henkilökunta saattaa olla ristissä. Tutkijat huomauttivat, että GRAPELOADER ei ainoastaan suodata järjestelmätietoja ulkoiselle palvelimelle, vaan myös tasoittaa tietä WINELOADERin toimitukselle ensisijaisena hyötykuormana. WINELOADERin päivitetyt versiot, joissa on vastaavat kokoelman aikaleimat, ovat tulleet esille, mikä lisää haittaohjelmien perhettä.
Johtopäätös: GRAPELOADERin rooli APT29:n arsenaalissa
Korvaamalla vanhemmat työkalut GRAPELOADERilla APT29 esittelee jatkuvaa innovaatiotaan kybervakoilussa. Tämä kampanja on esimerkki siitä, kuinka hienostunut sosiaalinen suunnittelu yhdistettynä salakavalaan haittaohjelmien suunnitteluun on edelleen tehokas strategia tunkeutua arvokkaisiin valtion kohteisiin.
