GRAPELOADER Skadlig programvara
Den ryska statsstödda hackergruppen APT29, även känd som Cozy Bear eller Midnight Blizzard, har lanserat en ny nätfiskekampanj riktad mot diplomatiska enheter över hela Europa. Den här kampanjen använder en omarbetad version av WINELOADER Backdoor och en nyupptäckt skadlig programvara, GRAPELOADER. Angriparna använder övertygande e-postlurar för att lura mottagarna att köra ett hotfullt ZIP-arkiv förklädd som en inbjudan till ett vinprovningsevenemang.
Innehållsförteckning
Möt denna skadliga programvara: GRAPELOADER och WINELOADER
Medan WINELOADER fungerar som en modulär bakdörr i de senare stadierna av infektion, är GRAPELOADER det bästa verktyget för det inledande skedet. GRAPELOADER handtag:
- Systemets fingeravtryck
- Persistens via Windows-registret ändringar
- Leverans av nyttolast till infekterade värdar
När GRAPELOADERs beständighet har uppnåtts går skadlig programvara in i en oändlig loop och når ut till sin Command-and-Control-server (C2) var 60:e sekund. Under den första kommunikationen samlar den in viktiga systemdetaljer som användarnamn, datornamn, processnamn och processPID. Den här informationen paketeras tillsammans med en hårdkodad 64-teckens hexadecimal sträng – som troligen fungerar som en kampanj- eller versionsidentifierare – och överförs till C2-servern via en HTTPS POST-begäran.
Trots sina olika roller delar båda verktygen liknande kodstrukturer och använder avancerade obfuskeringstekniker, inklusive strängkryptering och runtime API-lösning. GRAPELOADER anses vara en mer smygande efterföljare till ROOTSAW, en äldre HTA-nedladdare.
Taktiskt bedrägeri: Från vinprovningslurar till exekvering av skadlig programvara
Nätfiske-e-postmeddelandena, som kommer från domänerna bakenhof.com och silry.com, efterliknar ett europeiskt utrikesministerium och bjuder in mottagare till en falsk vinprovningsevent. Det bifogade ZIP-arkivet, wine.zip, innehåller tre nyckelfiler:
- AppvIsvSubsystems64.dll – Ett beroende som används för DLL-sidladdning
- wine.exe – En legitim körbar PowerPoint-fil som utnyttjas för att lansera skadlig programvara
- ppcore.dll – Den skadliga DLL-filen (GRAPELOADER) lanseras genom sidladdning
När den väl har körts säkerställer skadlig programvara beständighet genom att modifiera registret för att köra wine.exe vid varje systemstart.
Ett bredare nät: bortom Europas gränser
Kampanjen riktar sig främst till europeiska utrikesministerier och ambassader. Bevis tyder dock på att diplomatisk personal som är stationerad i Mellanöstern också kan hamna i hårkorset. Forskare noterade att GRAPELOADER inte bara exfiltrerar systemdata till en extern server utan också banar väg för att leverera WINELOADER som den primära nyttolasten. Uppdaterade versioner av WINELOADER med matchande kompileringstidsstämplar har dykt upp, vilket ytterligare knyter samman skadlig programvara.
Slutsats: GRAPELOADERs roll i APT29:s Arsenal
Genom att ersätta äldre verktyg med GRAPELOADER visar APT29 upp sin ständiga innovation inom cyberspionage. Den här kampanjen exemplifierar hur sofistikerad social ingenjörskonst, i kombination med smygande skadlig programvara, förblir en potent strategi för att infiltrera högvärdiga statliga mål.
