Perisian hasad GRAPELOADER
Kumpulan penggodam yang disokong negara Rusia APT29, juga dikenali sebagai Cozy Bear atau Midnight Blizzard, telah melancarkan kempen pancingan data baharu yang menyasarkan entiti diplomatik di seluruh Eropah. Kempen ini menggunakan versi WINELOADER Backdoor yang diolah semula dan pemuat perisian hasad yang baru ditemui, GRAPELOADER. Penyerang menggunakan gewang e-mel yang meyakinkan untuk menipu penerima supaya melaksanakan arkib ZIP mengancam yang menyamar sebagai jemputan ke acara merasa wain.
Isi kandungan
Temui Perisian Hasad ini: GRAPELOADER dan WINELOADER
Walaupun WINELOADER bertindak sebagai pintu belakang modular pada peringkat jangkitan kemudian, GRAPELOADER ialah alat pilihan untuk peringkat awal. GRAPELOADER mengendalikan:
- Cap jari sistem
- Kegigihan melalui pengubahsuaian Windows Registry
- Penghantaran muatan kepada hos yang dijangkiti
Setelah kegigihan GRAPELOADER dicapai, perisian hasad memasuki gelung yang tidak berkesudahan, menjangkau pelayan Command-and-Control (C2) setiap 60 saat. Semasa komunikasi awalnya, ia mengumpulkan butiran sistem utama seperti Nama Pengguna, Nama Komputer, Nama Proses dan ProcessPID. Maklumat ini dibungkus bersama-sama dengan rentetan perenambelasan 64 aksara berkod keras—mungkin berfungsi sebagai pengecam kempen atau versi—dan dihantar ke pelayan C2 melalui permintaan HTTPS POST.
Walaupun peranannya berbeza, kedua-dua alatan berkongsi struktur kod yang serupa dan menggunakan teknik pengeliruan lanjutan, termasuk penyulitan rentetan dan penyelesaian API masa jalan. GRAPELOADER dianggap sebagai pengganti yang lebih tersembunyi kepada ROOTSAW, pemuat turun HTA yang lebih lama.
Penipuan Taktikal: Daripada Gewang Rasa Wain kepada Pelaksanaan Perisian Hasad
E-mel pancingan data, yang berasal dari domain bakenhof.com dan silry.com, menyamar sebagai Kementerian Luar Negeri Eropah dan menjemput penerima ke acara merasa wain palsu. Arkib ZIP yang dilampirkan, wine.zip, mengandungi tiga fail utama:
- AppvIsvSubsystems64.dll – Kebergantungan yang digunakan untuk pemuatan sisi DLL
- wine.exe – Boleh laku PowerPoint yang sah dieksploitasi untuk melancarkan perisian hasad
- ppcore.dll – DLL berniat jahat (GRAPELOADER) dilancarkan melalui pemuatan sisi
Setelah dilaksanakan, perisian hasad memastikan kegigihan dengan mengubah suai pendaftaran untuk menjalankan wine.exe pada setiap but sistem.
Jaringan yang Lebih Luas: Melangkaui Sempadan Eropah
Kempen ini terutamanya menyasarkan Kementerian Luar Negeri Eropah dan kedutaan. Walau bagaimanapun, bukti menunjukkan bahawa kakitangan diplomatik yang ditempatkan di Timur Tengah mungkin juga berada di garis silang. Penyelidik menyatakan bahawa GRAPELOADER bukan sahaja mengeksfiltrasi data sistem ke pelayan luaran tetapi juga membuka jalan untuk menyampaikan WINELOADER sebagai muatan utama. Versi WINELOADER yang dikemas kini dengan cap masa kompilasi yang sepadan telah muncul, seterusnya menyatukan keluarga perisian hasad.
Kesimpulan: Peranan GRAPELOADER dalam Arsenal APT29
Dengan menggantikan alat lama dengan GRAPELOADER, APT29 mempamerkan inovasi berterusannya dalam pengintipan siber. Kempen ini menunjukkan bagaimana kejuruteraan sosial yang canggih, ditambah dengan reka bentuk perisian hasad yang tersembunyi, kekal sebagai strategi yang mujarab untuk menyusup ke sasaran kerajaan yang bernilai tinggi.
