הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית GRAPELOADER תוכנה זדונית

GRAPELOADER תוכנה זדונית

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)
לתרגם ל:
עברית

קבוצת הפריצה הרוסית הנתמכת על ידי המדינה APT29, הידועה גם בשם Cozy Bear או Midnight Blizzard, השיקה קמפיין פישינג חדש המכוון לגורמים דיפלומטיים ברחבי אירופה. מסע פרסום זה משתמש בגרסה מחודשת של WINELOADER Backdoor ובטוען תוכנות זדוניות שהתגלה לאחרונה, GRAPELOADER. התוקפים משתמשים בפתיונות דוא"ל משכנעים כדי להערים על נמענים לבצע ארכיון ZIP מאיים במסווה של הזמנה לאירוע טעימות יין.

הכירו את התוכנה הזדונית הזו: GRAPELOADER ו-WINELOADER

בעוד WINELOADER פועל כדלת אחורית מודולרית בשלבים המאוחרים של ההדבקה, GRAPELOADER הוא הכלי המועדף לשלב הראשוני. ידיות GRAPELOADER:

  • טביעת אצבע של המערכת
  • התמדה באמצעות שינויים ברישום של Windows
  • משלוח מטען למארחים נגועים

ברגע שההתמדה של GRAPELOADER מושגת, התוכנה הזדונית נכנסת ללולאה אינסופית, ומגיעה לשרת ה-Command-and-Control (C2) שלה כל 60 שניות. במהלך התקשורת הראשונית שלו, הוא אוסף פרטי מערכת מרכזיים כגון שם משתמש, שם מחשב, שם תהליך ו-ProcessPID. מידע זה נארז יחד עם מחרוזת הקסדצימלית מקודדת בת 64 תווים - ככל הנראה משמשת כמזהה מסע פרסום או גרסה - ומועברת לשרת C2 באמצעות בקשת HTTPS POST.

למרות התפקידים השונים שלהם, שני הכלים חולקים מבני קוד דומים ומשתמשים בטכניקות ערפול מתקדמות, כולל הצפנת מחרוזת ופתרון API בזמן ריצה. GRAPELOADER נחשב ליורש חמקני יותר של ROOTSAW, תוכנת הורדת HTA ותיקה יותר.

הונאה טקטית: מפיתויים לטעימות יין ועד ביצוע תוכנות זדוניות

הודעות האימייל המתחזות, שמקורן בדומיינים bakenhof.com ו-silry.com, מתחזים למשרד החוץ האירופי ומזמינות את הנמענים לאירוע טעימות יין מזויף. ארכיון ה-ZIP המצורף, wine.zip, מכיל שלושה קבצי מפתח:

  • AppvIsvSubsystems64.dll - תלות המשמשת לטעינת DLL בצד
  • wine.exe - קובץ הפעלה לגיטימי של PowerPoint מנוצל להפעלת תוכנות זדוניות
  • ppcore.dll - ה-DLL הזדוני (GRAPELOADER) הושק באמצעות טעינת צד

לאחר הביצוע, התוכנה הזדונית מבטיחה התמדה על ידי שינוי הרישום להפעלת wine.exe בכל אתחול מערכת.

רשת רחבה יותר: מעבר לגבולות אירופה

הקמפיין מכוון בעיקר למשרדי החוץ והשגרירויות של אירופה. עם זאת, עדויות מצביעות על כך שגם אנשי דיפלומטיים המוצבים במזרח התיכון עשויים להיות על הכוונת. חוקרים ציינו ש-GRAPELOADER לא רק מסנן נתוני מערכת לשרת חיצוני אלא גם סולל את הדרך לאספקת WINELOADER כמטען העיקרי. צצו גרסאות מעודכנות של WINELOADER עם חותמות זמן אוסף תואמות, מה שקושר עוד יותר את משפחת התוכנות הזדוניות יחד.

מסקנה: תפקידו של GRAPELOADER בארסנל של APT29

על ידי החלפת כלים ישנים יותר ב-GRAPELOADER, APT29 מציגה את החדשנות המתמשכת שלה בריגול סייבר. מסע פרסום זה ממחיש כיצד הנדסה חברתית מתוחכמת, יחד עם עיצוב תוכנות זדוניות חמקניות, נותרה אסטרטגיה חזקה לחדירת יעדים ממשלתיים בעלי ערך גבוה.

מגמות

Unclaimed Prize Email Scam

פישינג, ספאם
ניווט בטוח באינטרנט דורש מודעות מתמדת, מכיוון שרמאים מחפשים תמיד דרכים חדשות לנצל משתמשים תמימים. תוכנית הונאה אחת כזו היא הונאת הדוא"ל שלא נתבע, תכסיס מטעה שנועד לאסוף מידע אישי וכסף. על ידי התחזות כהודעת פרס לגיטימית, הטקטיקה הזו טורפת התרגשות וסקרנות, ובסופו של דבר מובילה את הקורבנות לרשת של הונאה פיננסית וזהותית. נפילת ההגרלה המזוייפת: טוב מכדי להיות אמיתי בלב הונאת הדואר האלקטרוני שלא נתבע...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
31,593
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...