GRAPELOADER मालवेयर

रूसी राज्य-समर्थित ह्याकिङ समूह APT29, जसलाई कोजी बियर वा मिडनाइट ब्लिजार्ड पनि भनिन्छ, ले युरोपभरि कूटनीतिक संस्थाहरूलाई लक्षित गर्दै नयाँ फिसिङ अभियान सुरु गरेको छ। यो अभियानले WINELOADER Backdoor को पुन: निर्माण गरिएको संस्करण र नयाँ पत्ता लागेको मालवेयर लोडर, GRAPELOADER प्रयोग गर्दछ। आक्रमणकारीहरूले प्राप्तकर्ताहरूलाई वाइन-टेस्टिङ कार्यक्रमको निमन्त्रणाको रूपमा लुकाएर धम्कीपूर्ण ZIP अभिलेख कार्यान्वयन गर्न फसाउन इमेल प्रलोभनहरू प्रयोग गर्छन्।

यो मालवेयर भेट्नुहोस्: GRAPELOADER र WINELOADER

संक्रमणको पछिल्लो चरणमा WINELOADER ले मोड्युलर ब्याकडोरको रूपमा काम गर्छ भने, GRAPELOADER प्रारम्भिक चरणको लागि रोजाइको उपकरण हो। GRAPELOADER ले ह्यान्डल गर्छ:

• प्रणाली फिंगरप्रिन्टिङ
• विन्डोज रजिस्ट्री परिमार्जनहरू मार्फत दृढता
• संक्रमित होस्टहरूलाई पेलोड डेलिभरी

एक पटक GRAPELOADER को स्थिरता प्राप्त भएपछि, मालवेयरले अनन्त लूपमा प्रवेश गर्छ, प्रत्येक ६० सेकेन्डमा यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा पुग्छ। यसको प्रारम्भिक सञ्चारको क्रममा, यसले प्रयोगकर्तानाम, कम्प्युटरनाम, प्रक्रियानाम र प्रक्रियापीआईडी जस्ता प्रमुख प्रणाली विवरणहरू सङ्कलन गर्दछ। यो जानकारी हार्डकोड गरिएको ६४-वर्ण हेक्साडेसिमल स्ट्रिङको साथ प्याकेज गरिएको छ - सम्भवतः अभियान वा संस्करण पहिचानकर्ताको रूपमा काम गर्ने - र HTTPS POST अनुरोध मार्फत C2 सर्भरमा प्रसारित हुन्छ।

तिनीहरूको फरक भूमिकाको बावजुद, दुबै उपकरणहरूले समान कोड संरचनाहरू साझा गर्छन् र स्ट्रिङ इन्क्रिप्शन र रनटाइम API रिजोल्युसन सहित उन्नत अस्पष्टता प्रविधिहरू प्रयोग गर्छन्। GRAPELOADER लाई पुरानो HTA डाउनलोडर, ROOTSAW को थप गोप्य उत्तराधिकारी मानिन्छ।

रणनीतिक छल: वाइन-टेस्टिङ लोभदेखि मालवेयर कार्यान्वयनसम्म

bakenhof.com र silry.com डोमेनहरूबाट उत्पन्न हुने फिसिङ इमेलहरूले युरोपेली विदेश मन्त्रालयको नक्कल गर्छन् र प्राप्तकर्ताहरूलाई नक्कली वाइन-टेस्टिङ कार्यक्रममा आमन्त्रित गर्छन्। संलग्न ZIP अभिलेख, wine.zip मा तीन प्रमुख फाइलहरू छन्:

• AppvIsvSubsystems64.dll – DLL साइडलोडिङको लागि प्रयोग गरिने निर्भरता
• wine.exe - मालवेयर सुरु गर्न प्रयोग गरिएको एक वैध PowerPoint कार्यान्वयनयोग्य
• ppcore.dll – साइडलोडिङ मार्फत सुरु गरिएको दुर्भावनापूर्ण DLL (GRAPELOADER)

एकपटक कार्यान्वयन भएपछि, मालवेयरले प्रत्येक प्रणाली बुटमा wine.exe चलाउन रजिस्ट्री परिमार्जन गरेर स्थिरता सुनिश्चित गर्दछ।

फराकिलो नेटवर्क: युरोपको सिमानाभन्दा बाहिर

यो अभियानले मुख्यतया युरोपेली विदेश मन्त्रालय र दूतावासहरूलाई लक्षित गर्दछ। यद्यपि, प्रमाणहरूले सुझाव दिन्छ कि मध्य पूर्वमा तैनाथ कूटनीतिक कर्मचारीहरू पनि क्रसहेयरमा हुन सक्छन्। अनुसन्धानकर्ताहरूले उल्लेख गरे कि GRAPELOADER ले प्रणाली डेटा बाह्य सर्भरमा मात्र एक्सफिल्टर गर्दैन तर WINELOADER लाई प्राथमिक पेलोडको रूपमा डेलिभर गर्ने बाटो पनि प्रशस्त गर्दछ। मिल्दो संकलन टाइमस्ट्याम्पहरू सहित WINELOADER को अद्यावधिक संस्करणहरू देखा परेका छन्, जसले मालवेयर परिवारलाई अझ एकसाथ बाँध्छ।

निष्कर्ष: APT29 को आर्सनलमा GRAPELOADER को भूमिका

पुराना उपकरणहरूलाई GRAPELOADER ले प्रतिस्थापन गरेर, APT29 ले साइबर जासूसीमा आफ्नो निरन्तर नवीनता प्रदर्शन गर्दछ। यो अभियानले कसरी परिष्कृत सामाजिक इन्जिनियरिङ, गोप्य मालवेयर डिजाइनसँग मिलेर, उच्च-मूल्यवान सरकारी लक्ष्यहरूमा घुसपैठ गर्ने शक्तिशाली रणनीति बनेको छ भन्ने उदाहरण दिन्छ।