GRAPELOADER Ļaunprātīga programmatūra
Krievijas valsts atbalstītā hakeru grupa APT29, kas pazīstama arī kā Cozy Bear vai Midnight Blizzard, ir uzsākusi jaunu pikšķerēšanas kampaņu, kuras mērķauditorija ir diplomātiskās vienības visā Eiropā. Šajā kampaņā tiek izmantota WINELOADER Backdoor pārstrādāta versija un jaunatklātais ļaunprātīgas programmatūras ielādētājs GRAPELOADER. Uzbrucēji izmanto pārliecinošus e-pasta vilinājumus, lai pievilinātu adresātus izpildīt draudīgu ZIP arhīvu, kas slēpts kā ielūgums uz vīna degustācijas pasākumu.
Satura rādītājs
Iepazīstieties ar šo ļaunprātīgo programmatūru: GRAPELOADER un WINELOADER
Kamēr WINELOADER darbojas kā modulāra aizmugures durvis vēlākās infekcijas stadijās, GRAPELOADER ir izvēles rīks sākotnējā stadijā. GRAPELOADER rokturi:
- Sistēmas pirkstu nospiedumu noņemšana
- Noturība, izmantojot Windows reģistra modifikācijas
- Kravas piegāde inficētiem saimniekiem
Kad tiek sasniegts GRAPELOADER noturība, ļaunprogrammatūra nonāk bezgalīgā lokā, ik pēc 60 sekundēm sasniedzot savu Command-and-Control (C2) serveri. Sākotnējās saziņas laikā tā apkopo galveno sistēmas informāciju, piemēram, lietotājvārdu, datora nosaukumu, procesa nosaukumu un procesa PID. Šī informācija tiek iesaiņota kopā ar cietkodētu 64 rakstzīmju heksadecimālo virkni, kas, iespējams, kalpo kā kampaņas vai versijas identifikators, un tiek pārsūtīta uz C2 serveri, izmantojot HTTPS POST pieprasījumu.
Neskatoties uz dažādajām lomām, abiem rīkiem ir līdzīgas koda struktūras un tiek izmantotas uzlabotas neskaidrības metodes, tostarp virkņu šifrēšana un izpildlaika API atrisināšana. GRAPELOADER tiek uzskatīts par slēptāku ROOTSAW, vecāka HTA lejupielādētāja, pēcteci.
Taktiskā maldināšana: no vīna degustācijas vilinājumiem līdz ļaunprātīgas programmatūras izpildei
Pikšķerēšanas e-pasta ziņojumi, kas nāk no domēniem bakenhof.com un silry.com, uzdodas par Eiropas Ārlietu ministriju un aicina adresātus uz viltus vīna degustācijas pasākumu. Pievienotajā ZIP arhīvā, wine.zip, ir trīs galvenie faili:
- AppvIsvSubsystems64.dll — atkarība, ko izmanto DLL sānu ielādei
- wine.exe — likumīgs PowerPoint izpildāmais fails, kas tiek izmantots ļaunprātīgas programmatūras palaišanai
- ppcore.dll — ļaunprātīga DLL (GRAPELOADER) palaišana, izmantojot sānu ielādi
Kad ļaunprogrammatūra ir izpildīta, tā nodrošina noturību, modificējot reģistru, lai palaistu Win.exe katrā sistēmas sāknēšanas reizē.
Plašāks tīkls: aiz Eiropas robežām
Kampaņa galvenokārt ir vērsta uz Eiropas Ārlietu ministrijām un vēstniecībām. Tomēr pierādījumi liecina, ka Tuvajos Austrumos izvietotais diplomātiskais personāls varētu būt arī krustcelēs. Pētnieki atzīmēja, ka GRAPELOADER ne tikai izfiltrē sistēmas datus uz ārēju serveri, bet arī paver ceļu WINELOADER kā primārās kravas piegādei. Ir parādījušās atjauninātas WINELOADER versijas ar atbilstošiem kompilācijas laikspiedoliem, kas vēl vairāk saista ļaunprātīgas programmatūras saimi.
Secinājums: GRAPELOADER loma APT29 arsenālā
Aizstājot vecākus rīkus ar GRAPELOADER, APT29 demonstrē savu nepārtraukto inovāciju kiberspiegošanā. Šī kampaņa parāda, kā izsmalcināta sociālā inženierija kopā ar slepenu ļaunprātīgas programmatūras dizainu joprojām ir spēcīga stratēģija, lai iefiltrētos augstvērtīgos valdības mērķos.
