GRAPELOADER Škodlivý softvér

Ruská štátom podporovaná hackerská skupina APT29, známa aj ako Cozy Bear alebo Midnight Blizzard, spustila novú phishingovú kampaň zameranú na diplomatické subjekty v celej Európe. Táto kampaň využíva prepracovanú verziu WINELOADER Backdoor a novoobjavený nakladač malvéru, GRAPELOADER. Útočníci používajú presvedčivé e-mailové návnady, aby oklamali príjemcov, aby spustili hrozivý ZIP archív maskovaný ako pozvánka na degustáciu vína.

Zoznámte sa s týmto škodlivým softvérom: GRAPELOADER a WINELOADER

Zatiaľ čo WINELOADER funguje ako modulárne zadné vrátka v neskorších štádiách infekcie, GRAPELOADER je nástroj voľby pre počiatočné štádium. Rukoväte GRAPELOADER:

• Systémové odtlačky prstov
• Pretrvávanie prostredníctvom úprav databázy Registry systému Windows
• Doručenie užitočného zaťaženia infikovaným hostiteľom

Akonáhle je dosiahnutá stálosť GRAPELOADER, malvér vstúpi do nekonečnej slučky a každých 60 sekúnd sa dostane na svoj Command-and-Control (C2) server. Počas svojej počiatočnej komunikácie zhromažďuje kľúčové systémové detaily, ako napríklad UserName, ComputerName, ProcessName a ProcessPID. Tieto informácie sú zabalené spolu s pevne zakódovaným 64-miestnym hexadecimálnym reťazcom, ktorý pravdepodobne slúži ako identifikátor kampane alebo verzie, a prenášajú sa na server C2 prostredníctvom požiadavky HTTPS POST.

Napriek rôznym úlohám oba nástroje zdieľajú podobné štruktúry kódu a využívajú pokročilé techniky zahmlievania vrátane šifrovania reťazcov a rozlíšenia runtime API. GRAPELOADER je považovaný za nenápadnejšieho nástupcu ROOTSAW, staršieho sťahovača HTA.

Taktický podvod: Od návnad na ochutnávanie vína až po popravu škodlivého softvéru

Phishingové e-maily pochádzajúce z domén bakenhof.com a silry.com sa vydávajú za európske ministerstvo zahraničných vecí a pozývajú príjemcov na falošnú ochutnávku vína. Priložený archív ZIP, wine.zip, obsahuje tri kľúčové súbory:

• AppvIsvSubsystems64.dll – Závislosť používaná na bočné načítanie DLL
• wine.exe – legitímny spustiteľný súbor PowerPoint využívaný na spustenie škodlivého softvéru
• ppcore.dll – Škodlivá knižnica DLL (GRAPELOADER) spustená prostredníctvom bočného načítania

Po spustení zaisťuje malvér pretrvávanie úpravou registra tak, aby sa pri každom spustení systému spustil súbor wine.exe.

Širšia sieť: Za hranicami Európy

Kampaň cieli predovšetkým na európske ministerstvá zahraničných vecí a veľvyslanectvá. Dôkazy však naznačujú, že v hľadáčiku môže byť aj diplomatický personál umiestnený na Blízkom východe. Výskumníci poznamenali, že GRAPELOADER nielen exfiltruje systémové údaje na externý server, ale tiež pripravuje pôdu pre poskytovanie WINELOADER ako primárneho užitočného zaťaženia. Objavili sa aktualizované verzie WINELOADER so zodpovedajúcimi časovými pečiatkami kompilácie, ktoré ďalej spájajú rodinu škodlivého softvéru.

Záver: Úloha GRAPELOADER v Arsenale APT29

Nahradením starších nástrojov za GRAPELOADER APT29 predstavuje svoju neustálu inováciu v kybernetickej špionáži. Táto kampaň je príkladom toho, ako sofistikované sociálne inžinierstvo spolu s nenápadným dizajnom škodlivého softvéru zostáva účinnou stratégiou na infiltráciu vysokohodnotných vládnych cieľov.