GRAPELOADER Malware

रूसी सरकार समर्थित हैकिंग समूह APT29, जिसे कोज़ी बियर या मिडनाइट ब्लिज़र्ड के नाम से भी जाना जाता है, ने यूरोप भर में राजनयिक संस्थाओं को लक्षित करते हुए एक नया फ़िशिंग अभियान शुरू किया है। इस अभियान में WINELOADER बैकडोर का एक नया संस्करण और एक नया खोजा गया मैलवेयर लोडर, GRAPELOADER का उपयोग किया गया है। हमलावर ईमेल के ज़रिए लोगों को लुभाने के लिए उन्हें एक धमकी भरे ज़िप आर्काइव को अंजाम देने के लिए प्रेरित करते हैं, जिसे वाइन-चखने के कार्यक्रम के निमंत्रण के रूप में छिपाया जाता है।

इस मैलवेयर से मिलिए: GRAPELOADER और WINELOADER

जबकि WINELOADER संक्रमण के बाद के चरणों में एक मॉड्यूलर बैकडोर के रूप में कार्य करता है, GRAPELOADER प्रारंभिक चरण के लिए पसंद का उपकरण है। GRAPELOADER संभालता है:

• सिस्टम फिंगरप्रिंटिंग
• विंडोज रजिस्ट्री संशोधनों के माध्यम से दृढ़ता
• संक्रमित होस्ट तक पेलोड डिलीवरी

एक बार जब GRAPELOADER की दृढ़ता प्राप्त हो जाती है, तो मैलवेयर एक अंतहीन लूप में प्रवेश करता है, जो हर 60 सेकंड में अपने कमांड-एंड-कंट्रोल (C2) सर्वर तक पहुंचता है। अपने शुरुआती संचार के दौरान, यह उपयोगकर्ता नाम, कंप्यूटर नाम, प्रक्रिया नाम और प्रक्रिया पीआईडी जैसे प्रमुख सिस्टम विवरण एकत्र करता है। यह जानकारी एक हार्डकोडेड 64-वर्ण हेक्साडेसिमल स्ट्रिंग के साथ पैक की जाती है - संभवतः एक अभियान या संस्करण पहचानकर्ता के रूप में काम करती है - और HTTPS POST अनुरोध के माध्यम से C2 सर्वर को प्रेषित की जाती है।

अपनी अलग-अलग भूमिकाओं के बावजूद, दोनों उपकरण समान कोड संरचना साझा करते हैं और स्ट्रिंग एन्क्रिप्शन और रनटाइम API समाधान सहित उन्नत अस्पष्टीकरण तकनीकों का उपयोग करते हैं। GRAPELOADER को ROOTSAW, एक पुराने HTA डाउनलोडर का अधिक गुप्त उत्तराधिकारी माना जाता है।

सामरिक धोखा: वाइन-चखने के लालच से लेकर मैलवेयर निष्पादन तक

डोमेन bakenhof.com और silry.com से आने वाले फ़िशिंग ईमेल, यूरोपीय विदेश मंत्रालय का प्रतिरूपण करते हैं और प्राप्तकर्ताओं को एक नकली वाइन-चखने के कार्यक्रम में आमंत्रित करते हैं। संलग्न ज़िप संग्रह, wine.zip में तीन मुख्य फ़ाइलें हैं:

• AppvIsvSubsystems64.dll – DLL साइडलोडिंग के लिए उपयोग की जाने वाली निर्भरता
• wine.exe - एक वैध पावरपॉइंट निष्पादन योग्य जिसका उपयोग मैलवेयर लॉन्च करने के लिए किया जाता है
• ppcore.dll – साइडलोडिंग के माध्यम से लॉन्च किया गया दुर्भावनापूर्ण DLL (GRAPELOADER)

एक बार निष्पादित होने के बाद, मैलवेयर प्रत्येक सिस्टम बूट पर wine.exe चलाने के लिए रजिस्ट्री को संशोधित करके स्थायित्व सुनिश्चित करता है।

एक व्यापक जाल: यूरोप की सीमाओं से परे

अभियान मुख्य रूप से यूरोपीय विदेश मंत्रालयों और दूतावासों को लक्षित करता है। हालांकि, साक्ष्य बताते हैं कि मध्य पूर्व में तैनात राजनयिक कर्मचारी भी निशाने पर हो सकते हैं। शोधकर्ताओं ने पाया कि GRAPELOADER न केवल सिस्टम डेटा को बाहरी सर्वर पर भेजता है, बल्कि प्राथमिक पेलोड के रूप में WINELOADER को वितरित करने का मार्ग भी प्रशस्त करता है। मिलान संकलन टाइमस्टैम्प के साथ WINELOADER के अपडेट किए गए संस्करण सामने आए हैं, जो मैलवेयर परिवार को और भी एक साथ जोड़ते हैं।

निष्कर्ष: APT29 के शस्त्रागार में GRAPELOADER की भूमिका

पुराने उपकरणों को GRAPELOADER से बदलकर, APT29 साइबर जासूसी में अपने निरंतर नवाचार को प्रदर्शित करता है। यह अभियान इस बात का उदाहरण है कि कैसे परिष्कृत सोशल इंजीनियरिंग, चुपके से मैलवेयर डिज़ाइन के साथ मिलकर, उच्च-मूल्य वाले सरकारी लक्ष्यों में घुसपैठ करने के लिए एक शक्तिशाली रणनीति बनी हुई है।