GRAPELOADER Malware

Grupi rus i hakerave APT29 i mbështetur nga shteti, i njohur gjithashtu si Cozy Bear ose Midnight Blizzard, ka nisur një fushatë të re phishing që synon entitetet diplomatike në të gjithë Evropën. Kjo fushatë përdor një version të ripunuar të WINELOADER Backdoor dhe një ngarkues malware të sapo zbuluar, GRAPELOADER. Sulmuesit përdorin joshje bindëse me email për të mashtruar marrësit në ekzekutimin e një arkivi kërcënues ZIP të maskuar si një ftesë për një ngjarje të shijimit të verës.

Njihuni me këtë malware: GRAPELOADER dhe WINELOADER

Ndërsa WINELOADER vepron si një derë e pasme modulare në fazat e mëvonshme të infeksionit, GRAPELOADER është mjeti i zgjedhur për fazën fillestare. GRAPELOADER trajton:

• Sistemi i gjurmëve të gishtërinjve
• Qëndrueshmëria përmes modifikimeve të Regjistrit të Windows
• Dorëzimi i ngarkesës te hostet e infektuar

Sapo të arrihet qëndrueshmëria e GRAPELOADER, malware hyn në një qark të pafund, duke arritur te serveri i tij Command-and-Control (C2) çdo 60 sekonda. Gjatë komunikimit të tij fillestar, ai mbledh detajet kryesore të sistemit si emri i përdoruesit, emri i kompjuterit, emri i procesit dhe procesiPID. Ky informacion është i paketuar së bashku me një varg heksadecimal të koduar me 64 karaktere - me gjasë që shërben si një identifikues i fushatës ose versionit - dhe transmetohet në serverin C2 përmes një kërkese HTTPS POST.

Pavarësisht nga rolet e tyre të ndryshme, të dy mjetet ndajnë struktura të ngjashme kodi dhe përdorin teknika të avancuara të mjegullimit, duke përfshirë enkriptimin e vargjeve dhe zgjidhjen e API-së në kohën e ekzekutimit. GRAPELOADER konsiderohet një pasardhës më i fshehtë i ROOTSAW, një shkarkues më i vjetër HTA.

Mashtrimi taktik: Nga joshjet e shijimit të verës deri te ekzekutimi i malware

Emailet e phishing, me origjinë nga domenet bakenhof.com dhe silry.com, imitojnë një Ministri të Punëve të Jashtme Evropiane dhe ftojnë marrësit në një ngjarje të rreme të shijimit të verës. Arkivi ZIP i bashkangjitur, wine.zip, përmban tre skedarë kyç:

• AppvIsvSubsystems64.dll – Një varësi e përdorur për ngarkimin anësor të DLL
• wine.exe – Një ekzekutues legjitim i PowerPoint i shfrytëzuar për të nisur malware
• ppcore.dll – DLL me qëllim të keq (GRAPELOADER) u lançua përmes ngarkimit anësor

Pasi të ekzekutohet, malware siguron qëndrueshmëri duke modifikuar regjistrin për të ekzekutuar wine.exe në çdo nisje të sistemit.

Një rrjet më i gjerë: Përtej kufijve të Evropës

Fushata synon kryesisht Ministritë e Punëve të Jashtme dhe ambasadat evropiane. Megjithatë, provat sugjerojnë se personeli diplomatik i vendosur në Lindjen e Mesme mund të jetë gjithashtu në pikëpyetje. Studiuesit vunë në dukje se GRAPELOADER jo vetëm që nxjerr të dhënat e sistemit në një server të jashtëm, por gjithashtu hap rrugën për dërgimin e WINELOADER si ngarkesën kryesore. Versionet e përditësuara të WINELOADER me vula kohore të përputhshme të përpilimit janë shfaqur, duke lidhur më tej familjen e malware.

Përfundim: Roli i GRAPELOADER në Arsenalin e APT29

Duke zëvendësuar mjetet e vjetra me GRAPELOADER, APT29 shfaq inovacionin e tij të vazhdueshëm në spiunazhin kibernetik. Kjo fushatë ilustron se si inxhinieria sociale e sofistikuar, e shoqëruar me dizajnin e fshehtë të malware, mbetet një strategji e fuqishme për depërtimin në objektiva qeveritare me vlerë të lartë.