GRAPELOADER Malware
Grupul rus de hacking susținut de stat APT29, cunoscut și sub numele de Cozy Bear sau Midnight Blizzard, a lansat o nouă campanie de phishing care vizează entitățile diplomatice din Europa. Această campanie folosește o versiune reproiectată a Backdoor WINELOADER și un încărcător de malware recent descoperit, GRAPELOADER. Atacatorii folosesc momeli convingătoare de e-mail pentru a păcăli destinatarii să execute o arhivă ZIP amenințătoare deghizată ca o invitație la un eveniment de degustare de vinuri.
Cuprins
Faceți cunoștință cu acest program malware: GRAPELOADER și WINELOADER
În timp ce WINELOADER acționează ca o ușă din spate modulară în etapele ulterioare ale infecției, GRAPELOADER este instrumentul de alegere pentru etapa inițială. Mânere GRAPELOADER:
- Amprentarea sistemului
- Persistență prin modificări ale registrului Windows
- Livrarea încărcăturii utile către gazdele infectate
Odată ce persistența GRAPELOADER este atinsă, malware-ul intră într-o buclă nesfârșită, ajungând la serverul său Command-and-Control (C2) la fiecare 60 de secunde. În timpul comunicării inițiale, adună detalii cheie ale sistemului, cum ar fi UserName, ComputerName, ProcessName și ProcessPID. Aceste informații sunt împachetate împreună cu un șir hexazecimal de 64 de caractere, care servește probabil ca identificator de campanie sau de versiune, și sunt transmise serverului C2 printr-o solicitare HTTPS POST.
În ciuda rolurilor lor diferite, ambele instrumente împărtășesc structuri de cod similare și folosesc tehnici avansate de ofuscare, inclusiv criptarea șirurilor și rezolvarea API-ului de rulare. GRAPELOADER este considerat un succesor mai ascuns al ROOTSAW, un program de descărcare HTA mai vechi.
Înșelăciune tactică: de la momeli de degustare de vin la executarea programelor malware
E-mailurile de phishing, care provin de la domeniile bakenhof.com și silry.com, uzurpă identitatea unui Minister european al Afacerilor Externe și invită destinatarii la un eveniment fals de degustare de vinuri. Arhiva ZIP atașată, wine.zip, conține trei fișiere cheie:
- AppvIsvSubsystems64.dll – O dependență utilizată pentru încărcarea secundară a DLL
- wine.exe – Un executabil PowerPoint legitim exploatat pentru a lansa programe malware
- ppcore.dll – DLL rău intenționat (GRAPELOADER) lansat prin încărcare laterală
Odată executat, malware-ul asigură persistența prin modificarea registrului pentru a rula wine.exe la fiecare pornire a sistemului.
O rețea mai largă: dincolo de granițele Europei
Campania vizează în primul rând ministerele europene de externe și ambasadele. Cu toate acestea, dovezile sugerează că personalul diplomatic staționat în Orientul Mijlociu ar putea fi, de asemenea, în miză. Cercetătorii au remarcat că GRAPELOADER nu numai că exfiltrează datele sistemului pe un server extern, ci și deschide calea pentru livrarea WINELOADER ca sarcină utilă principală. Au apărut versiuni actualizate de WINELOADER cu marcaje temporale de compilare care se potrivesc, legând și mai mult familia de malware.
Concluzie: Rolul lui GRAPELOADER în Arsenalul APT29
Prin înlocuirea instrumentelor mai vechi cu GRAPELOADER, APT29 își prezintă inovația continuă în domeniul spionajului cibernetic. Această campanie exemplifica modul în care ingineria socială sofisticată, cuplată cu designul malware ascuns, rămâne o strategie puternică pentru infiltrarea țintelor guvernamentale de mare valoare.
