Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware GRAPELOADER-malware

GRAPELOADER-malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:
Nederlands

De Russische, door de staat gesteunde hackersgroep APT29, ook bekend als Cozy Bear of Midnight Blizzard, is een nieuwe phishingcampagne gestart die zich richt op diplomatieke instanties in heel Europa. Deze campagne maakt gebruik van een verbeterde versie van de WINELOADER Backdoor en een nieuw ontdekte malware-loader, GRAPELOADER. De aanvallers gebruiken overtuigende e-maillokkers om ontvangers te verleiden een bedreigend ZIP-bestand te openen, vermomd als een uitnodiging voor een wijnproeverij.

Maak kennis met deze malware: GRAPELOADER en WINELOADER

Terwijl WINELOADER in de latere stadia van de infectie als een modulaire achterdeur fungeert, is GRAPELOADER de tool bij uitstek voor de eerste fase. GRAPELOADER behandelt:

  • Systeemvingerafdruk
  • Persistentie via wijzigingen in het Windows-register
  • Levering van payload aan geïnfecteerde hosts

Zodra GRAPELOADER persistent is, belandt de malware in een eindeloze lus en maakt elke 60 seconden verbinding met zijn Command-and-Control (C2)-server. Tijdens de eerste communicatie verzamelt het belangrijke systeemgegevens, zoals de gebruikersnaam, computernaam, procesnaam en proces-PID. Deze informatie wordt samen met een hardgecodeerde hexadecimale tekenreeks van 64 tekens – waarschijnlijk dienend als campagne- of versie-ID – verpakt en via een HTTPS POST-verzoek naar de C2-server verzonden.

Ondanks hun verschillende rollen delen beide tools vergelijkbare codestructuren en maken ze gebruik van geavanceerde verduisteringstechnieken, waaronder stringversleuteling en runtime API-omzetting. GRAPELOADER wordt beschouwd als een meer discrete opvolger van ROOTSAW, een oudere HTA-downloader.

Tactische misleiding: van wijnlokmiddelen tot malware-uitvoering

De phishingmails, afkomstig van de domeinen bakenhof.com en silry.com, doen zich voor als een Europees Ministerie van Buitenlandse Zaken en nodigen ontvangers uit voor een nep-wijnproeverij. Het bijgevoegde zipbestand, wine.zip, bevat drie belangrijke bestanden:

  • AppvIsvSubsystems64.dll – Een afhankelijkheid die wordt gebruikt voor DLL-sideloading
  • wine.exe – Een legitiem PowerPoint-uitvoerbaar bestand dat wordt misbruikt om malware te lanceren
  • ppcore.dll – De kwaadaardige DLL (GRAPELOADER) die via sideloading wordt gelanceerd

Zodra de malware is uitgevoerd, zorgt het ervoor dat het virus blijft bestaan door het register zo aan te passen dat wine.exe bij elke keer opstarten van het systeem wordt uitgevoerd.

Een breder net: voorbij de grenzen van Europa

De campagne richt zich voornamelijk op Europese ministeries van Buitenlandse Zaken en ambassades. Er zijn echter aanwijzingen dat ook diplomatiek personeel in het Midden-Oosten mogelijk het doelwit is. Onderzoekers merkten op dat GRAPELOADER niet alleen systeemgegevens naar een externe server exfiltreert, maar ook de weg vrijmaakt voor het aanbieden van WINELOADER als primaire payload. Er zijn bijgewerkte versies van WINELOADER met bijpassende compilatietijdstempels opgedoken, waardoor de malwarefamilie verder is verbonden.

Conclusie: De rol van GRAPELOADER in het arsenaal van APT29

Door oudere tools te vervangen door GRAPELOADER, toont APT29 zijn voortdurende innovatie op het gebied van cyberespionage. Deze campagne illustreert hoe geavanceerde social engineering, gecombineerd met een sluipend malware-ontwerp, een krachtige strategie blijft voor het infiltreren van waardevolle overheidsdoelen.

Trending

Meest bekeken

Bezig met laden...