GRAPELOADER ਮਾਲਵੇਅਰ

ਰੂਸੀ ਰਾਜ-ਸਮਰਥਿਤ ਹੈਕਿੰਗ ਸਮੂਹ APT29, ਜਿਸਨੂੰ ਕੋਜ਼ੀ ਬੀਅਰ ਜਾਂ ਮਿਡਨਾਈਟ ਬਲਿਜ਼ਾਰਡ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੇ ਪੂਰੇ ਯੂਰਪ ਵਿੱਚ ਕੂਟਨੀਤਕ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਇੱਕ ਨਵੀਂ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਸ਼ੁਰੂ ਕੀਤੀ ਹੈ। ਇਹ ਮੁਹਿੰਮ WINELOADER ਬੈਕਡੋਰ ਅਤੇ ਇੱਕ ਨਵੇਂ ਖੋਜੇ ਗਏ ਮਾਲਵੇਅਰ ਲੋਡਰ, GRAPELOADER ਦੇ ਇੱਕ ਨਵੇਂ ਵਰਜਨ ਨੂੰ ਵਰਤਦੀ ਹੈ। ਹਮਲਾਵਰ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਵਾਈਨ-ਟੇਸਟਿੰਗ ਪ੍ਰੋਗਰਾਮ ਦੇ ਸੱਦੇ ਦੇ ਭੇਸ ਵਿੱਚ ਇੱਕ ਧਮਕੀ ਭਰੇ ZIP ਆਰਕਾਈਵ ਨੂੰ ਚਲਾਉਣ ਲਈ ਧੋਖਾ ਦੇਣ ਵਾਲੇ ਈਮੇਲ ਲਾਲਚਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

ਇਸ ਮਾਲਵੇਅਰ ਨੂੰ ਮਿਲੋ: GRAPELOADER ਅਤੇ WINELOADER

ਜਦੋਂ ਕਿ WINELOADER ਲਾਗ ਦੇ ਬਾਅਦ ਦੇ ਪੜਾਵਾਂ ਵਿੱਚ ਇੱਕ ਮਾਡਿਊਲਰ ਬੈਕਡੋਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, GRAPELOADER ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ ਲਈ ਪਸੰਦ ਦਾ ਸਾਧਨ ਹੈ। GRAPELOADER ਹੈਂਡਲ ਕਰਦਾ ਹੈ:

• ਸਿਸਟਮ ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ
• ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਸੋਧਾਂ ਰਾਹੀਂ ਸਥਿਰਤਾ
• ਸੰਕਰਮਿਤ ਹੋਸਟਾਂ ਨੂੰ ਪੇਲੋਡ ਡਿਲੀਵਰੀ

ਇੱਕ ਵਾਰ ਜਦੋਂ GRAPELOADER ਦੀ ਸਥਿਰਤਾ ਪ੍ਰਾਪਤ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਇੱਕ ਬੇਅੰਤ ਲੂਪ ਵਿੱਚ ਦਾਖਲ ਹੁੰਦਾ ਹੈ, ਹਰ 60 ਸਕਿੰਟਾਂ ਵਿੱਚ ਇਸਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੱਕ ਪਹੁੰਚਦਾ ਹੈ। ਇਸਦੇ ਸ਼ੁਰੂਆਤੀ ਸੰਚਾਰ ਦੌਰਾਨ, ਇਹ ਮੁੱਖ ਸਿਸਟਮ ਵੇਰਵੇ ਜਿਵੇਂ ਕਿ UserName, ComputerName, ProcessName ਅਤੇ ProcessPID ਇਕੱਠੇ ਕਰਦਾ ਹੈ। ਇਹ ਜਾਣਕਾਰੀ ਇੱਕ ਹਾਰਡਕੋਡ ਕੀਤੀ 64-ਅੱਖਰਾਂ ਦੀ ਹੈਕਸਾਡੈਸੀਮਲ ਸਤਰ ਦੇ ਨਾਲ ਪੈਕ ਕੀਤੀ ਜਾਂਦੀ ਹੈ—ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇੱਕ ਮੁਹਿੰਮ ਜਾਂ ਸੰਸਕਰਣ ਪਛਾਣਕਰਤਾ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ—ਅਤੇ ਇੱਕ HTTPS POST ਬੇਨਤੀ ਰਾਹੀਂ C2 ਸਰਵਰ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।

ਆਪਣੀਆਂ ਵੱਖੋ-ਵੱਖਰੀਆਂ ਭੂਮਿਕਾਵਾਂ ਦੇ ਬਾਵਜੂਦ, ਦੋਵੇਂ ਟੂਲ ਇੱਕੋ ਜਿਹੇ ਕੋਡ ਢਾਂਚੇ ਸਾਂਝੇ ਕਰਦੇ ਹਨ ਅਤੇ ਉੱਨਤ ਔਫਸਕੇਸ਼ਨ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਸਟ੍ਰਿੰਗ ਇਨਕ੍ਰਿਪਸ਼ਨ ਅਤੇ ਰਨਟਾਈਮ API ਰਿਜ਼ੋਲਵਿੰਗ ਸ਼ਾਮਲ ਹਨ। GRAPELOADER ਨੂੰ ROOTSAW, ਇੱਕ ਪੁਰਾਣੇ HTA ਡਾਊਨਲੋਡਰ ਦਾ ਇੱਕ ਹੋਰ ਗੁਪਤ ਉੱਤਰਾਧਿਕਾਰੀ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ।

ਰਣਨੀਤਕ ਧੋਖਾ: ਵਾਈਨ-ਚੱਖਣ ਦੇ ਲਾਲਚ ਤੋਂ ਲੈ ਕੇ ਮਾਲਵੇਅਰ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੱਕ

bakenhof.com ਅਤੇ silry.com ਡੋਮੇਨਾਂ ਤੋਂ ਆਉਣ ਵਾਲੀਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ, ਇੱਕ ਯੂਰਪੀਅਨ ਵਿਦੇਸ਼ ਮੰਤਰਾਲੇ ਦੀ ਨਕਲ ਕਰਦੀਆਂ ਹਨ ਅਤੇ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਇੱਕ ਨਕਲੀ ਵਾਈਨ-ਟੇਸਟਿੰਗ ਪ੍ਰੋਗਰਾਮ ਲਈ ਸੱਦਾ ਦਿੰਦੀਆਂ ਹਨ। ਨੱਥੀ ZIP ਆਰਕਾਈਵ, wine.zip, ਵਿੱਚ ਤਿੰਨ ਮੁੱਖ ਫਾਈਲਾਂ ਹਨ:

• AppvIsvSubsystems64.dll – DLL ਸਾਈਡਲੋਡਿੰਗ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਇੱਕ ਨਿਰਭਰਤਾ
• wine.exe – ਇੱਕ ਜਾਇਜ਼ PowerPoint ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਮਾਲਵੇਅਰ ਲਾਂਚ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ
• ppcore.dll – ਸਾਈਡਲੋਡਿੰਗ ਰਾਹੀਂ ਲਾਂਚ ਕੀਤਾ ਗਿਆ ਖਤਰਨਾਕ DLL (GRAPELOADER)

ਇੱਕ ਵਾਰ ਚੱਲਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਹਰੇਕ ਸਿਸਟਮ ਬੂਟ 'ਤੇ wine.exe ਚਲਾਉਣ ਲਈ ਰਜਿਸਟਰੀ ਨੂੰ ਸੋਧ ਕੇ ਸਥਿਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।

ਇੱਕ ਵਿਸ਼ਾਲ ਜਾਲ: ਯੂਰਪ ਦੀਆਂ ਸਰਹੱਦਾਂ ਤੋਂ ਪਰੇ

ਇਹ ਮੁਹਿੰਮ ਮੁੱਖ ਤੌਰ 'ਤੇ ਯੂਰਪੀਅਨ ਵਿਦੇਸ਼ ਮੰਤਰਾਲਿਆਂ ਅਤੇ ਦੂਤਾਵਾਸਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ। ਹਾਲਾਂਕਿ, ਸਬੂਤ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਮੱਧ ਪੂਰਬ ਵਿੱਚ ਤਾਇਨਾਤ ਡਿਪਲੋਮੈਟਿਕ ਕਰਮਚਾਰੀ ਵੀ ਸ਼ੱਕ ਦੇ ਘੇਰੇ ਵਿੱਚ ਹੋ ਸਕਦੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਕਿ GRAPELOADER ਨਾ ਸਿਰਫ਼ ਸਿਸਟਮ ਡੇਟਾ ਨੂੰ ਇੱਕ ਬਾਹਰੀ ਸਰਵਰ ਵਿੱਚ ਫੈਲਾਉਂਦਾ ਹੈ ਬਲਕਿ WINELOADER ਨੂੰ ਪ੍ਰਾਇਮਰੀ ਪੇਲੋਡ ਵਜੋਂ ਪ੍ਰਦਾਨ ਕਰਨ ਦਾ ਰਾਹ ਵੀ ਪੱਧਰਾ ਕਰਦਾ ਹੈ। ਮੇਲ ਖਾਂਦੇ ਕੰਪਾਈਲੇਸ਼ਨ ਟਾਈਮਸਟੈਂਪਾਂ ਦੇ ਨਾਲ WINELOADER ਦੇ ਅੱਪਡੇਟ ਕੀਤੇ ਸੰਸਕਰਣ ਸਾਹਮਣੇ ਆਏ ਹਨ, ਜੋ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਨੂੰ ਹੋਰ ਜੋੜਦੇ ਹਨ।

ਸਿੱਟਾ: APT29 ਦੇ ਆਰਸੈਨਲ ਵਿੱਚ GRAPELOADER ਦੀ ਭੂਮਿਕਾ

ਪੁਰਾਣੇ ਟੂਲਸ ਨੂੰ GRAPELOADER ਨਾਲ ਬਦਲ ਕੇ, APT29 ਸਾਈਬਰ ਜਾਸੂਸੀ ਵਿੱਚ ਆਪਣੀ ਨਿਰੰਤਰ ਨਵੀਨਤਾ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਇਸ ਗੱਲ ਦੀ ਉਦਾਹਰਣ ਦਿੰਦੀ ਹੈ ਕਿ ਕਿਵੇਂ ਸੂਝਵਾਨ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ, ਸਟੀਲਥੀ ਮਾਲਵੇਅਰ ਡਿਜ਼ਾਈਨ ਦੇ ਨਾਲ, ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਸਰਕਾਰੀ ਟੀਚਿਆਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਲਈ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਰਣਨੀਤੀ ਬਣੀ ਹੋਈ ਹੈ।