Oprogramowanie złośliwe GRAPELOADER
Rosyjska grupa hakerska wspierana przez państwo APT29, znana również jako Cozy Bear lub Midnight Blizzard, rozpoczęła nową kampanię phishingową skierowaną przeciwko podmiotom dyplomatycznym w całej Europie. Kampania ta wykorzystuje przerobioną wersję WINELOADER Backdoor i nowo odkryty program ładujący złośliwe oprogramowanie, GRAPELOADER. Atakujący wykorzystują przekonujące przynęty w postaci wiadomości e-mail, aby nakłonić odbiorców do uruchomienia groźnego archiwum ZIP zamaskowanego jako zaproszenie na degustację wina.
Spis treści
Poznaj to złośliwe oprogramowanie: GRAPELOADER i WINELOADER
Podczas gdy WINELOADER działa jako modułowe tylne wejście na późniejszych etapach infekcji, GRAPELOADER jest narzędziem z wyboru na początkowym etapie. GRAPELOADER obsługuje:
- Odcisk palca systemu
- Trwałość poprzez modyfikacje rejestru systemu Windows
- Dostarczanie ładunku do zainfekowanych hostów
Po osiągnięciu trwałości GRAPELOADER, malware wchodzi w nieskończoną pętlę, docierając do swojego serwera Command-and-Control (C2) co 60 sekund. Podczas początkowej komunikacji zbiera kluczowe szczegóły systemu, takie jak UserName, ComputerName, ProcessName i ProcessPID. Informacje te są pakowane wraz z zakodowanym na stałe 64-znakowym ciągiem szesnastkowym — prawdopodobnie służącym jako identyfikator kampanii lub wersji — i przesyłane do serwera C2 za pośrednictwem żądania HTTPS POST.
Pomimo odmiennych ról, oba narzędzia mają podobne struktury kodu i wykorzystują zaawansowane techniki zaciemniania, w tym szyfrowanie ciągów znaków i rozwiązywanie API w czasie wykonywania. GRAPELOADER jest uważany za bardziej ukrytego następcę ROOTSAW, starszego programu do pobierania plików HTA.
Taktyczne oszustwo: od przynęty do degustacji wina po wykonanie złośliwego oprogramowania
E-maile phishingowe pochodzące z domen bakenhof.com i silry.com podszywają się pod europejskie Ministerstwo Spraw Zagranicznych i zapraszają odbiorców na fałszywe wydarzenie degustacji wina. Załączone archiwum ZIP, wine.zip, zawiera trzy kluczowe pliki:
- AppvIsvSubsystems64.dll – zależność używana do bocznego ładowania bibliotek DLL
- wine.exe – legalny plik wykonywalny programu PowerPoint wykorzystywany do uruchamiania złośliwego oprogramowania
- ppcore.dll – złośliwa biblioteka DLL (GRAPELOADER) uruchamiana poprzez boczne ładowanie
Po uruchomieniu złośliwe oprogramowanie zapewnia sobie trwałość poprzez modyfikację rejestru w celu uruchomienia wine.exe przy każdym uruchomieniu systemu.
Szersza sieć: poza granicami Europy
Kampania jest skierowana przede wszystkim do europejskich ministerstw spraw zagranicznych i ambasad. Jednak dowody sugerują, że personel dyplomatyczny stacjonujący na Bliskim Wschodzie może również być na celowniku. Badacze zauważyli, że GRAPELOADER nie tylko eksfiltruje dane systemowe na zewnętrzny serwer, ale także toruje drogę do dostarczania WINELOADER jako głównego ładunku. Pojawiły się zaktualizowane wersje WINELOADER z pasującymi znacznikami czasu kompilacji, co jeszcze bardziej łączy rodzinę złośliwego oprogramowania.
Wnioski: Rola GRAPELOADERA w arsenale APT29
Zastępując starsze narzędzia GRAPELOADER, APT29 pokazuje swoją ciągłą innowację w cybernetycznym szpiegostwie. Ta kampania pokazuje, jak wyrafinowana inżynieria społeczna w połączeniu z ukrytym projektem złośliwego oprogramowania pozostaje skuteczną strategią infiltracji cennych celów rządowych.
