Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema GRAPELOADER Zlonamerna programska oprema

GRAPELOADER Zlonamerna programska oprema

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:
Slovenščina

Ruska državno podprta hekerska skupina APT29, znana tudi kot Cosy Bear ali Midnight Blizzard, je sprožila novo kampanjo lažnega predstavljanja, ki cilja na diplomatske entitete po Evropi. Ta kampanja uporablja predelano različico WINELOADER Backdoor in na novo odkrit nalagalnik zlonamerne programske opreme, GRAPELOADER. Napadalci uporabljajo prepričljive e-poštne vabe, da prejemnike zavedejo v izvedbo grozečega arhiva ZIP, prikritega kot vabilo na dogodek degustacije vin.

Spoznajte to zlonamerno programsko opremo: GRAPELOADER in WINELOADER

Medtem ko WINELOADER deluje kot modularna stranska vrata v poznejših fazah okužbe, je GRAPELOADER izbrano orodje za začetno stopnjo. GRAPELOADER ročaji:

  • Sistemski prstni odtis
  • Vztrajnost prek sprememb registra Windows
  • Dostava koristnega tovora do okuženih gostiteljev

Ko je vztrajnost GRAPELOADER dosežena, zlonamerna programska oprema vstopi v neskončno zanko in vsakih 60 sekund doseže svoj strežnik za ukazovanje in nadzor (C2). Med prvo komunikacijo zbere ključne sistemske podrobnosti, kot so UserName, ComputerName, ProcessName in ProcessPID. Te informacije so zapakirane skupaj s trdo kodiranim šestnajstiškim nizom s 64 znaki – ki verjetno služi kot identifikator oglaševalske akcije ali različice – in posredovane strežniku C2 prek zahteve HTTPS POST.

Kljub različnima vlogama imata obe orodji podobne strukture kode in uporabljata napredne tehnike zamegljevanja, vključno s šifriranjem nizov in razreševanjem API-ja med izvajanjem. GRAPELOADER velja za bolj prikritega naslednika ROOTSAW, starejšega prenosnika HTA.

Taktična prevara: od vab za degustacijo vina do izvajanja zlonamerne programske opreme

E-poštna sporočila z lažnim predstavljanjem, ki izvirajo iz domen bakenhof.com in silry.com, predstavljajo evropsko ministrstvo za zunanje zadeve in prejemnike vabijo na lažno degustacijo vin. Priloženi arhiv ZIP, wine.zip, vsebuje tri ključne datoteke:

  • AppvIsvSubsystems64.dll – odvisnost, ki se uporablja za stransko nalaganje DLL
  • wine.exe – zakonita izvršljiva datoteka PowerPoint, ki se izkorišča za zagon zlonamerne programske opreme
  • ppcore.dll – Zlonamerni DLL (GRAPELOADER), zagnan s stranskim nalaganjem

Ko se izvede, zlonamerna programska oprema zagotovi obstojnost tako, da spremeni register za zagon wine.exe ob vsakem zagonu sistema.

Širša mreža: onkraj evropskih meja

Kampanja je namenjena predvsem evropskim ministrstvom za zunanje zadeve in veleposlaništva. Vendar pa dokazi kažejo, da je lahko na udaru tudi diplomatsko osebje, nameščeno na Bližnjem vzhodu. Raziskovalci so ugotovili, da GRAPELOADER ne le prenaša sistemske podatke na zunanji strežnik, ampak tudi utira pot za dostavo WINELOADER-ja kot primarnega tovora. Pojavile so se posodobljene različice programa WINELOADER z ujemajočimi se časovnimi žigi prevajanja, kar še dodatno povezuje družino zlonamerne programske opreme.

Zaključek: Vloga GRAPELOADERja v Arsenalu APT29

Z zamenjavo starejših orodij z GRAPELOADERjem APT29 prikazuje svoje stalne inovacije na področju kibernetskega vohunjenja. Ta kampanja ponazarja, kako sofisticiran socialni inženiring, skupaj s prikrito zasnovo zlonamerne programske opreme, ostaja močna strategija za infiltracijo v vladne cilje visoke vrednosti.

 

V trendu

E-poštna prevara z neprevzeto nagrado

Lažno predstavljanje, Neželena pošta
Za varno krmarjenje po spletu je potrebna stalna zavest, saj prevaranti vedno iščejo nove načine za izkoriščanje nič hudega slutečih uporabnikov. Ena takšnih goljufivih shem je prevara z e-pošto z neprevzeto nagrado, zavajajoča zvijača, namenjena zbiranju osebnih podatkov in denarja. Ta taktika, ki se predstavlja kot zakonito obvestilo o nagradi, pleni vznemirjenje in radovednost ter žrtve na...

Najbolj gledan

Nalaganje...