Вредоносное ПО GRAPELOADER
Российская хакерская группа APT29, также известная как Cozy Bear или Midnight Blizzard, спонсируемая государством, запустила новую фишинговую кампанию, нацеленную на дипломатические учреждения по всей Европе. Эта кампания использует переработанную версию бэкдора WINELOADER и недавно обнаруженный загрузчик вредоносного ПО GRAPELOADER. Злоумышленники используют убедительные приманки в электронной почте, чтобы обманом заставить получателей запустить угрожающий ZIP-архив, замаскированный под приглашение на дегустацию вин.
Оглавление
Познакомьтесь с вредоносным ПО: GRAPELOADER и WINELOADER
В то время как WINELOADER действует как модульный бэкдор на поздних стадиях заражения, GRAPELOADER является инструментом выбора на начальной стадии. GRAPELOADER обрабатывает:
- Системный дактилоскопический анализ
- Сохранение посредством изменений реестра Windows
- Доставка полезной нагрузки на зараженные хосты
После достижения устойчивости GRAPELOADER вредоносная программа входит в бесконечный цикл, обращаясь к своему серверу Command-and-Control (C2) каждые 60 секунд. Во время своего первоначального общения она собирает ключевые системные данные, такие как UserName, ComputerName, ProcessName и ProcessPID. Эта информация упаковывается вместе с жестко закодированной 64-символьной шестнадцатеричной строкой — вероятно, служащей идентификатором кампании или версии — и передается на сервер C2 через HTTPS POST-запрос.
Несмотря на разные роли, оба инструмента имеют схожие структуры кода и используют передовые методы обфускации, включая шифрование строк и разрешение API во время выполнения. GRAPELOADER считается более скрытным преемником ROOTSAW, более старого загрузчика HTA.
Тактический обман: от дегустации вина до запуска вредоносного ПО
Фишинговые письма, отправленные с доменов bakenhof.com и silry.com, выдают себя за Министерство иностранных дел Европы и приглашают получателей на поддельную дегустацию вин. Прикрепленный архив ZIP wine.zip содержит три ключевых файла:
- AppvIsvSubsystems64.dll – зависимость, используемая для загрузки DLL
- wine.exe – легитимный исполняемый файл PowerPoint, используемый для запуска вредоносного ПО
- ppcore.dll – вредоносная DLL (GRAPELOADER), запущенная через стороннюю загрузку
После запуска вредоносная программа обеспечивает себе устойчивость, изменяя реестр для запуска wine.exe при каждой загрузке системы.
Широкая сеть: за пределами границ Европы
Кампания в первую очередь нацелена на европейские министерства иностранных дел и посольства. Однако данные свидетельствуют о том, что дипломатический персонал, размещенный на Ближнем Востоке, также может оказаться под прицелом. Исследователи отметили, что GRAPELOADER не только выводит системные данные на внешний сервер, но и прокладывает путь для доставки WINELOADER в качестве основной полезной нагрузки. Появились обновленные версии WINELOADER с совпадающими временными метками компиляции, что еще больше связывает семейство вредоносных программ.
Заключение: роль GRAPELOADER в арсенале APT29
Заменив старые инструменты на GRAPELOADER, APT29 демонстрирует свои постоянные инновации в кибершпионаже. Эта кампания является примером того, как сложная социальная инженерия в сочетании с скрытным дизайном вредоносного ПО остается эффективной стратегией для проникновения в важные правительственные объекты.
