GRAPELOADER Kenkėjiška programa
Rusijos valstybės remiama programišių grupė APT29, dar žinoma kaip Cozy Bear arba Midnight Blizzard, pradėjo naują sukčiavimo kampaniją, nukreiptą prieš diplomatinius subjektus visoje Europoje. Šioje kampanijoje naudojama perdaryta WINELOADER Backdoor versija ir naujai atrasta kenkėjiškų programų įkėlimo programa GRAPELOADER. Užpuolikai naudoja įtikinamus el. pašto viliojimus, kad apgautų gavėjus, kad jie įvykdytų grėsmingą ZIP archyvą, užmaskuotą kaip kvietimą į vyno degustacijos renginį.
Turinys
Susipažinkite su šia kenkėjiška programa: GRAPELOADER ir WINELOADER
Nors WINELOADER vėlesnėse infekcijos stadijose veikia kaip modulinės užpakalinės durys, GRAPELOADER yra pasirinktas įrankis pradiniame etape. GRAPELOADER rankenos:
- Sistemos pirštų atspaudų ėmimas
- Patvarumas naudojant „Windows“ registro pakeitimus
- Naudingojo krovinio pristatymas užkrėstiems šeimininkams
Pasiekus GRAPELOADER atkaklumą, kenkėjiška programa patenka į begalinį ratą ir kas 60 sekundžių pasiekia savo komandų ir valdymo (C2) serverį. Pradinio ryšio metu jis surenka pagrindinę sistemos informaciją, pvz., vartotojo vardą, kompiuterio pavadinimą, proceso pavadinimą ir proceso PID. Ši informacija supakuota kartu su užkoduota 64 simbolių šešioliktaine eilute, kuri greičiausiai naudojama kaip kampanijos arba versijos identifikatorius, ir perduodama į C2 serverį per HTTPS POST užklausą.
Nepaisant skirtingų vaidmenų, abu įrankiai turi panašias kodo struktūras ir naudoja pažangius užmaskavimo būdus, įskaitant eilučių šifravimą ir vykdymo laiko API sprendimą. GRAPELOADER laikomas labiau slaptu ROOTSAW, senesnės HTA atsisiuntimo programos, įpėdiniu.
Taktinė apgaulė: nuo vyno degustacijos jaukų iki kenkėjiškų programų vykdymo
Sukčiavimo el. laiškai, kilę iš domenų bakenhof.com ir silry.com, apsimeta Europos užsienio reikalų ministerija ir kviečia gavėjus į netikrų vynų degustacijos renginį. Pridėtame ZIP archyve, wine.zip, yra trys pagrindiniai failai:
- AppvIsvSubsystems64.dll – priklausomybė, naudojama DLL šoniniam įkėlimui
- wine.exe – teisėtas PowerPoint vykdomasis failas, naudojamas kenkėjiškoms programoms paleisti
- ppcore.dll – kenkėjiškas DLL (GRAPELOADER), paleistas naudojant šoninį įkėlimą
Įvykdžius kenkėjišką programą, ji užtikrina išlikimą modifikuojant registrą, kad būtų paleista wine.exe kiekvienoje sistemos įkrovoje.
Platesnis tinklas: už Europos sienų
Kampanija pirmiausia skirta Europos užsienio reikalų ministerijoms ir ambasadams. Tačiau įrodymai rodo, kad Viduriniuose Rytuose dislokuoti diplomatiniai darbuotojai taip pat gali būti taikiklyje. Tyrėjai pažymėjo, kad GRAPELOADER ne tik išfiltruoja sistemos duomenis į išorinį serverį, bet ir atveria kelią WINELOADER kaip pagrindinio naudingojo krovinio pristatymui. Pasirodė atnaujintos WINELOADER versijos su atitinkamomis kompiliavimo laiko žymomis, kurios dar labiau susieja kenkėjiškų programų šeimą.
Išvada: GRAPELOADER vaidmuo APT29 arsenale
Pakeitęs senesnius įrankius į GRAPELOADER, APT29 demonstruoja nuolatines naujoves kibernetinio šnipinėjimo srityje. Ši kampanija parodo, kaip sudėtinga socialinė inžinerija kartu su slaptu kenkėjiškų programų dizainu išlieka galinga strategija, siekiant įsiskverbti į didelės vertės vyriausybės taikinius.
