GRAPELOADER Skadelig programvare
Den russiske statsstøttede hackergruppen APT29, også kjent som Cozy Bear eller Midnight Blizzard, har lansert en ny phishing-kampanje rettet mot diplomatiske enheter over hele Europa. Denne kampanjen bruker en omarbeidet versjon av WINELOADER Backdoor og en nyoppdaget malware-laster, GRAPELOADER. Angriperne bruker overbevisende e-postlokker for å lure mottakere til å utføre et truende ZIP-arkiv forkledd som en invitasjon til en vinsmaking.
Innholdsfortegnelse
Møt denne skadelige programvaren: GRAPELOADER og WINELOADER
Mens WINELOADER fungerer som en modulær bakdør i de senere stadier av infeksjon, er GRAPELOADER det foretrukne verktøyet for den innledende fasen. GRAPELOADER håndtak:
- Systemfingeravtrykk
- Utholdenhet via Windows-registermodifikasjoner
- Nyttelastlevering til infiserte verter
Når utholdenheten til GRAPELOADER er oppnådd, går skadevaren inn i en endeløs løkke, og når ut til Command-and-Control-serveren (C2) hvert 60. sekund. Under den første kommunikasjonen samler den inn nøkkelsystemdetaljer som brukernavn, datamaskinnavn, prosessnavn og prosessPID. Denne informasjonen pakkes sammen med en hardkodet 64-tegns heksadesimal streng – som sannsynligvis fungerer som en kampanje- eller versjonsidentifikator – og overføres til C2-serveren gjennom en HTTPS POST-forespørsel.
Til tross for deres forskjellige roller, deler begge verktøyene lignende kodestrukturer og bruker avanserte obfuskeringsteknikker, inkludert strengkryptering og runtime API-løsning. GRAPELOADER regnes som en mer snikende etterfølger til ROOTSAW, en eldre HTA-nedlaster.
Taktisk bedrag: Fra vinsmakingslokker til utføring av skadelig programvare
Phishing-e-postene, som stammer fra domenene bakenhof.com og silry.com, utgir seg for å være et europeisk utenriksdepartement og inviterer mottakere til en falsk vinsmaking. Det vedlagte ZIP-arkivet, wine.zip, inneholder tre nøkkelfiler:
- AppvIsvSubsystems64.dll – En avhengighet som brukes for DLL-sidelasting
- wine.exe – En legitim kjørbar PowerPoint-fil som utnyttes for å lansere skadelig programvare
- ppcore.dll – Den ondsinnede DLL-filen (GRAPELOADER) ble lansert gjennom sideinnlasting
Når den er utført, sikrer skadelig programvare utholdenhet ved å modifisere registret til å kjøre wine.exe ved hver systemoppstart.
A Wider Net: Beyond Europe’s Borders
Kampanjen retter seg først og fremst mot europeiske utenriksdepartementer og ambassader. Bevis tyder imidlertid på at diplomatisk personell stasjonert i Midtøsten også kan være i trådkorset. Forskere bemerket at GRAPELOADER ikke bare eksfiltrerer systemdata til en ekstern server, men også baner vei for å levere WINELOADER som den primære nyttelasten. Oppdaterte versjoner av WINELOADER med samsvarende kompileringstidsstempler har dukket opp, noe som knytter skadevarefamilien ytterligere sammen.
Konklusjon: GRAPELOADERs rolle i APT29s Arsenal
Ved å erstatte eldre verktøy med GRAPELOADER, viser APT29 sin kontinuerlige innovasjon innen cyberspionasje. Denne kampanjen eksemplifiserer hvordan sofistikert sosial ingeniørkunst, kombinert med snikende skadevaredesign, fortsatt er en potent strategi for å infiltrere høyverdige offentlige mål.
