ГРАПЕЛОАДЕР Малваре
Руска хакерска група АПТ29 коју подржава држава, позната и као Цоси Беар или Миднигхт Близзард, покренула је нову пхисхинг кампању усмерену на дипломатске субјекте широм Европе. Ова кампања користи прерађену верзију ВИНЕЛОАДЕР Бацкдоор- а и новооткривени учитавач малвера, ГРАПЕЛОАДЕР. Нападачи користе убедљиве мамце е-поште да преваре примаоце да изврше претећу ЗИП архиву прерушену у позивницу на дегустацију вина.
Преглед садржаја
Упознајте овај злонамерни софтвер: ГРАПЕЛОАДЕР и ВИНЕЛОАДЕР
Док ВИНЕЛОАДЕР делује као модуларни бацкдоор у каснијим фазама инфекције, ГРАПЕЛОАДЕР је алатка избора за почетну фазу. ГРАПЕЛОАДЕР ручке:
- Системско узимање отисака прстију
- Постојаност преко модификација Виндовс Регистри
- Испорука терета зараженим хостовима
Када се постигне постојаност ГРАПЕЛОАДЕР-а, малвер улази у бескрајну петљу, допирући до свог сервера за команду и контролу (Ц2) сваких 60 секунди. Током почетне комуникације, он прикупља кључне системске детаље као што су корисничко име, име рачунара, име процеса и процесни идентификатор. Ове информације се пакују заједно са чврсто кодираним хексадецималним стрингом од 64 знака – који вероватно служи као идентификатор кампање или верзије – и преноси се на Ц2 сервер преко ХТТПС ПОСТ захтева.
Упркос различитим улогама, оба алата деле сличне структуре кода и користе напредне технике замагљивања, укључујући шифровање стрингова и решавање АПИ-ја за време извршавања. ГРАПЕЛОАДЕР се сматра прикривенијим наследником РООТСАВ, старијег ХТА програма за преузимање.
Тактичка обмана: од мамаца за дегустацију вина до извршења злонамерног софтвера
Пецајући имејлови, који потичу са домена бакенхоф.цом и силри.цом, опонашају Европско министарство спољних послова и позивају примаоце на лажну дегустацију вина. Приложена ЗИП архива, вине.зип, садржи три кључна фајла:
- АппвИсвСубсистемс64.длл – Зависност која се користи за бочно учитавање ДЛЛ-а
- вине.еке – легитиман извршни програм ПоверПоинт који се користи за покретање малвера
- ппцоре.длл – Злонамерни ДЛЛ (ГРАПЕЛОАДЕР) покренут бочним учитавањем
Једном покренут, малвер обезбеђује постојаност модификовањем регистра да би покренуо вине.еке при сваком покретању система.
Шира мрежа: изван граница Европе
Кампања је првенствено усмерена на европска министарства спољних послова и амбасаде. Међутим, докази сугеришу да би дипломатско особље стационирано на Блиском истоку такође могло бити на нишану. Истраживачи су приметили да ГРАПЕЛОАДЕР не само да ексфилтрира системске податке на екстерни сервер, већ и утире пут за испоруку ВИНЕЛОАДЕР-а као примарног терета. Појавиле су се ажуриране верзије ВИНЕЛОАДЕР-а са одговарајућим временским ознакама компилације, додатно повезујући породицу малвера.
Закључак: Улога ГРАПЕЛОАДЕР-а у Арсеналу АПТ29
Заменом старијих алата са ГРАПЕЛОАДЕР-ом, АПТ29 показује своју сталну иновацију у сајбер шпијунажи. Ова кампања показује како софистицирани друштвени инжењеринг, заједно са прикривеним дизајном злонамерног софтвера, остаје моћна стратегија за инфилтрирање високо вредних државних циљева.
