GRAPELOADER Malware
Ruska državna hakerska grupa APT29, također poznata kao Cosy Bear ili Midnight Blizzard, pokrenula je novu phishing kampanju usmjerenu na diplomatske entitete diljem Europe. Ova kampanja koristi prerađenu verziju WINELOADER Backdoora i novootkriveni učitavač zlonamjernog softvera, GRAPELOADER. Napadači koriste uvjerljive mamce putem e-pošte kako bi prevarili primatelje da izvrše prijeteću ZIP arhivu prerušenu u pozivnicu za kušanje vina.
Sadržaj
Upoznajte ovaj malware: GRAPELOADER i WINELOADER
Dok WINELOADER djeluje kao modularni backdoor u kasnijim fazama infekcije, GRAPELOADER je alat izbora za početnu fazu. GRAPELOADER ručke:
- Otisak prsta sustava
- Postojanost putem izmjena registra sustava Windows
- Isporuka korisnog tereta zaraženim hostovima
Nakon što se postigne postojanost GRAPELOADER-a, zlonamjerni softver ulazi u beskrajnu petlju, dopirući do svog Command-and-Control (C2) poslužitelja svakih 60 sekundi. Tijekom početne komunikacije prikuplja ključne podatke o sustavu kao što su korisničko ime, naziv računala, naziv procesa i ID procesa. Ove informacije pakiraju se zajedno s tvrdo kodiranim heksadecimalnim nizom od 64 znaka—koji vjerojatno služi kao identifikator kampanje ili verzije—i prenose se na C2 poslužitelj putem HTTPS POST zahtjeva.
Unatoč različitim ulogama, oba alata dijele slične strukture koda i koriste napredne tehnike zamagljivanja, uključujući enkripciju niza i rješavanje API-ja za vrijeme izvođenja. GRAPELOADER se smatra skrivenijim nasljednikom ROOTSAW-a, starijeg HTA downloadera.
Taktička prijevara: od mamaca kušanja vina do izvođenja zlonamjernog softvera
E-poruke za krađu identiteta, koje potječu s domena bakenhof.com i silry.com, lažno se predstavljaju kao europsko ministarstvo vanjskih poslova i pozivaju primatelje na lažno kušanje vina. Priložena ZIP arhiva, wine.zip, sadrži tri ključne datoteke:
- AppvIsvSubsystems64.dll – Ovisnost koja se koristi za bočno učitavanje DLL-a
- wine.exe – legitimna izvršna datoteka programa PowerPoint iskorištena za pokretanje zlonamjernog softvera
- ppcore.dll – zlonamjerni DLL (GRAPELOADER) pokrenut bočnim učitavanjem
Nakon što se izvrši, zlonamjerni softver osigurava postojanost modificiranjem registra za pokretanje wine.exe pri svakom pokretanju sustava.
Šira mreža: izvan europskih granica
Kampanja je prvenstveno usmjerena na europska ministarstva vanjskih poslova i veleposlanstva. Međutim, dokazi sugeriraju da bi diplomatsko osoblje stacionirano na Bliskom istoku također moglo biti na nišanu. Istraživači su primijetili da GRAPELOADER ne samo da eksfiltrira sistemske podatke na vanjski poslužitelj, već i utire put isporuci WINELOADER-a kao primarnog korisnog opterećenja. Pojavile su se ažurirane verzije WINELOADER-a s odgovarajućim vremenskim oznakama kompilacije, dodatno povezujući obitelj malwarea.
Zaključak: Uloga GRAPELOADER-a u arsenalu APT29
Zamjenom starijih alata s GRAPELOADER-om, APT29 pokazuje svoju kontinuiranu inovaciju u cyber špijunaži. Ova kampanja pokazuje kako sofisticirani društveni inženjering, zajedno s prikrivenim dizajnom zlonamjernog softvera, ostaje snažna strategija za infiltraciju u vladine mete visoke vrijednosti.
