Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware GRAPELOADER Malware

GRAPELOADER Malware

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:
Magyar

Az orosz államilag támogatott APT29 hackercsoport, más néven Cozy Bear vagy Midnight Blizzard, új adathalász kampányt indított, amely Európa-szerte diplomáciai szervezeteket céloz meg. Ez a kampány a WINELOADER Backdoor átdolgozott verzióját és egy újonnan felfedezett rosszindulatú programbetöltőt, a GRAPELOADER-t alkalmazza. A támadók meggyőző e-mailes csalogatással próbálják rávenni a címzetteket egy borkóstolói meghívónak álcázott, fenyegető ZIP-archívum végrehajtására.

Ismerje meg ezt a rosszindulatú programot: GRAPELOADER és WINELOADER

Míg a WINELOADER moduláris hátsó ajtóként működik a fertőzés későbbi szakaszaiban, addig a GRAPELOADER a választott eszköz a kezdeti szakaszban. GRAPELOADER fogantyúk:

  • Rendszer ujjlenyomat
  • Megtartás a Windows rendszerleíró adatbázis módosításai révén
  • Rakomány kézbesítés a fertőzött gazdagépekhez

Amint a GRAPELOADER megmarad, a rosszindulatú program végtelen körbe lép, és 60 másodpercenként eléri a Command-and-Control (C2) szerverét. A kezdeti kommunikáció során összegyűjti a kulcsfontosságú rendszeradatokat, mint például a felhasználónév, a számítógépnév, a folyamatnév és a folyamatPID. Ezeket az információkat egy keménykódolt, 64 karakterből álló hexadecimális karakterlánccal együtt csomagoljuk – amely valószínűleg kampány- vagy verzióazonosítóként szolgál –, és HTTPS POST-kéréssel továbbítja a C2-kiszolgálóhoz.

Különböző szerepeik ellenére mindkét eszköz hasonló kódstruktúrát használ, és fejlett obfuszkációs technikákat alkalmaz, beleértve a karakterlánc-titkosítást és a futásidejű API-feloldást. A GRAPELOADER a ROOTSAW, egy régebbi HTA letöltő utódjának tekinthető.

Taktikai megtévesztés: a borkóstoló csaliktól a rosszindulatú programok végrehajtásáig

A bakenhof.com és a silry.com domainről származó adathalász e-mailek egy Európai Külügyminisztériumot adnak ki, és hamis borkóstolóre hívják meg a címzetteket. A csatolt ZIP-archívum, a wine.zip, három kulcsfájlt tartalmaz:

  • AppvIsvSubsystems64.dll – A DLL oldalbetöltéséhez használt függőség
  • wine.exe – Egy legitim PowerPoint futtatható fájl, amelyet rosszindulatú programok indítására használnak ki
  • ppcore.dll – A rosszindulatú DLL (GRAPELOADER) oldalbetöltéssel indult el

A végrehajtást követően a rosszindulatú program biztosítja a fennmaradást azáltal, hogy módosítja a rendszerleíró adatbázist, hogy a wine.exe minden rendszerindításkor fusson.

Szélesebb háló: Európa határain túl

A kampány elsősorban az európai külügyminisztériumokat és nagykövetségeket célozza meg. A bizonyítékok azonban arra utalnak, hogy a Közel-Keleten állomásozó diplomáciai személyzet is a célkeresztben lehet. A kutatók megjegyezték, hogy a GRAPELOADER nem csak a rendszeradatokat szivárogtatja ki egy külső szerverre, hanem megnyitja az utat a WINELOADER elsődleges rakományként történő szállításához is. Megjelentek a WINELOADER frissített verziói a megfelelő összeállítási időbélyegekkel, ami tovább fűzi a kártevő-családot.

Következtetés: GRAPELOADER szerepe az APT29 arzenáljában

A régebbi eszközöket GRAPELOADER-re cserélve az APT29 bemutatja folyamatos innovációját a kiberkémkedés terén. Ez a kampány jól szemlélteti, hogy a kifinomult social engineering és a lopakodó rosszindulatú szoftverek tervezése továbbra is hatékony stratégia a nagy értékű kormányzati célpontok beszivárgására.

Felkapott

Igénytelen nyeremény e-mail átverés

Adathalászat, Spam
A weben való biztonságos navigáció folyamatos tudatosságot igényel, mivel a szélhámosok mindig új utakat keresnek a gyanútlan felhasználók kizsákmányolására. Az egyik ilyen csaló séma az átverés nélküli nyeremény e-mail átverése, egy megtévesztő trükk, amelyet személyes adatok és pénz begyűjtésére terveztek. Azáltal, hogy jogos nyereményértesítőnek pózol, ez a taktika az izgalomra és a...

Legnézettebb

Betöltés...