Malware GRAPELOADER
Il gruppo di hacker russo APT29, supportato dallo stato, noto anche come Cozy Bear o Midnight Blizzard, ha lanciato una nuova campagna di phishing rivolta a enti diplomatici in tutta Europa. Questa campagna utilizza una versione rielaborata della backdoor WINELOADER e un malware loader di recente scoperta, GRAPELOADER. Gli aggressori utilizzano esche email convincenti per indurre i destinatari a eseguire un archivio ZIP minaccioso camuffato da invito a una degustazione di vini.
Sommario
Ecco il malware: GRAPELOADER e WINELOADER
Mentre WINELOADER agisce come una backdoor modulare nelle fasi avanzate dell'infezione, GRAPELOADER è lo strumento di scelta per la fase iniziale. GRAPELOADER gestisce:
- Impronta digitale del sistema
- Persistenza tramite modifiche al Registro di sistema di Windows
- Consegna del payload agli host infetti
Una volta raggiunta la persistenza di GRAPELOADER, il malware entra in un loop infinito, contattando il suo server di Comando e Controllo (C2) ogni 60 secondi. Durante la comunicazione iniziale, raccoglie dettagli chiave del sistema come Nome Utente, Nome Computer, Nome Processo e PID Processo. Queste informazioni vengono impacchettate insieme a una stringa esadecimale hardcoded di 64 caratteri, che probabilmente funge da identificatore di campagna o versione, e trasmesse al server C2 tramite una richiesta HTTPS POST.
Nonostante i loro ruoli diversi, entrambi gli strumenti condividono strutture di codice simili e utilizzano tecniche di offuscamento avanzate, tra cui la crittografia delle stringhe e la risoluzione delle API runtime. GRAPELOADER è considerato un successore più discreto di ROOTSAW, un vecchio downloader di HTA.
Inganno tattico: dalle esche per la degustazione del vino all’esecuzione di malware
Le email di phishing, provenienti dai domini bakenhof.com e silry.com, impersonano un Ministero degli Affari Esteri europeo e invitano i destinatari a un finto evento di degustazione di vini. L'archivio ZIP allegato, wine.zip, contiene tre file chiave:
- AppvIsvSubsystems64.dll – Una dipendenza utilizzata per il sideload della DLL
- wine.exe – Un eseguibile legittimo di PowerPoint sfruttato per lanciare malware
- ppcore.dll – La DLL dannosa (GRAPELOADER) avviata tramite sideloading
Una volta eseguito, il malware garantisce la persistenza modificando il registro in modo da eseguire wine.exe a ogni avvio del sistema.
Una rete più ampia: oltre i confini dell’Europa
La campagna prende di mira principalmente i Ministeri degli Esteri e le ambasciate europee. Tuttavia, le prove suggeriscono che anche il personale diplomatico di stanza in Medio Oriente potrebbe essere nel mirino. I ricercatori hanno notato che GRAPELOADER non solo esfiltra i dati di sistema su un server esterno, ma apre anche la strada alla distribuzione di WINELOADER come payload primario. Sono emerse versioni aggiornate di WINELOADER con timestamp di compilazione corrispondenti, il che collega ulteriormente la famiglia di malware.
Conclusione: il ruolo di GRAPELOADER nell’arsenale di APT29
Sostituendo i vecchi strumenti con GRAPELOADER, APT29 dimostra la sua continua innovazione nello spionaggio informatico. Questa campagna esemplifica come l'ingegneria sociale sofisticata, abbinata a un malware stealth, rimanga una strategia efficace per infiltrarsi in obiettivi governativi di alto valore.
