GRAPELOADER 악성코드

러시아 국가 지원 해킹 그룹 APT29(코지 베어 또는 미드나잇 블리자드라고도 함)가 유럽 전역의 외교 기관을 표적으로 삼는 새로운 피싱 캠페인을 시작했습니다. 이 캠페인은 WINELOADER 백도어 의 개량 버전과 새로 발견된 악성코드 로더인 GRAPELOADER를 사용합니다. 공격자는 설득력 있는 이메일 미끼를 사용하여 수신자를 속여 와인 시음회 초대장으로 위장한 위협적인 ZIP 압축 파일을 실행하도록 합니다.

이 악성코드를 만나보세요: GRAPELOADER와 WINELOADER

WINELOADER는 감염 후반 단계에서 모듈형 백도어 역할을 하는 반면, GRAPELOADER는 초기 단계에서 주로 사용되는 도구입니다. GRAPELOADER는 다음을 처리합니다.

• 시스템 지문
• Windows 레지스트리 수정을 통한 지속성
• 감염된 호스트에 대한 페이로드 전달

GRAPELOADER의 지속성이 확보되면, 악성코드는 무한 루프에 빠져 60초마다 명령 및 제어(C2) 서버에 접속합니다. 초기 통신 과정에서 사용자 이름, 컴퓨터 이름, 프로세스 이름, 프로세스 PID와 같은 주요 시스템 정보를 수집합니다. 이 정보는 캠페인 또는 버전 식별자로 사용될 가능성이 높은 64자리 16진수 문자열과 함께 패키징되어 HTTPS POST 요청을 통해 C2 서버로 전송됩니다.

두 도구는 역할은 다르지만 유사한 코드 구조를 공유하고 문자열 암호화 및 런타임 API 분석을 포함한 고급 난독화 기술을 사용합니다. GRAPELOADER는 이전 HTA 다운로더인 ROOTSAW의 더욱 은밀한 후속 버전으로 간주됩니다.

전술적 기만: 와인 시음 미끼부터 악성 코드 실행까지

bakenhof.com과 silry.com 도메인에서 발신된 피싱 이메일은 유럽 외무부를 사칭하여 수신자를 가짜 와인 시음회에 초대합니다. 첨부된 ZIP 파일(wine.zip)에는 세 개의 주요 파일이 포함되어 있습니다.

• AppvIsvSubsystems64.dll – DLL 사이드로딩에 사용되는 종속성
• wine.exe – 악성 소프트웨어를 실행하기 위해 악용되는 합법적인 PowerPoint 실행 파일
• ppcore.dll – 사이드로딩을 통해 실행된 악성 DLL(GRAPELOADER)

이 악성코드는 일단 실행되면 레지스트리를 수정하여 모든 시스템 부팅 시에 wine.exe를 실행함으로써 지속성을 보장합니다.

더 넓은 그물: 유럽 국경 너머

이 캠페인은 주로 유럽 외교부와 대사관을 표적으로 삼습니다. 그러나 중동에 주둔하는 외교관 또한 표적이 될 수 있다는 증거가 있습니다. 연구원들은 GRAPELOADER가 시스템 데이터를 외부 서버로 유출할 뿐만 아니라 WINELOADER를 주요 페이로드로 전달하는 통로를 마련한다는 점에 주목했습니다. 컴파일 타임스탬프가 일치하는 WINELOADER의 업데이트된 버전이 발견되면서 이 악성코드군 간의 연관성이 더욱 강화되었습니다.

결론: APT29의 무기고에서 GRAPELOADER의 역할

APT29는 기존 도구를 GRAPELOADER로 교체함으로써 사이버 스파이 활동에서 지속적인 혁신을 보여주고 있습니다. 이 캠페인은 정교한 소셜 엔지니어링과 은밀한 악성코드 설계가 어떻게 고가치 정부 기관에 침투하는 강력한 전략으로 남아 있는지를 잘 보여줍니다.