கிராப்லோடர் தீம்பொருள்
ரஷ்ய அரசு ஆதரவு பெற்ற ஹேக்கிங் குழுவான APT29, கோஸி பியர் அல்லது மிட்நைட் பனிப்புயல் என்றும் அழைக்கப்படுகிறது, இது ஐரோப்பா முழுவதும் உள்ள இராஜதந்திர நிறுவனங்களை குறிவைத்து ஒரு புதிய ஃபிஷிங் பிரச்சாரத்தைத் தொடங்கியுள்ளது. இந்த பிரச்சாரம் WINELOADER Backdoor இன் மறுவேலை செய்யப்பட்ட பதிப்பையும், புதிதாகக் கண்டுபிடிக்கப்பட்ட மால்வேர் லோடரான GRAPELOADER ஐயும் பயன்படுத்துகிறது. தாக்குபவர்கள், மது சுவைக்கும் நிகழ்வுக்கான அழைப்பாக மாறுவேடமிட்டு அச்சுறுத்தும் ZIP காப்பகத்தை செயல்படுத்த பெறுநர்களை ஏமாற்ற, உறுதியான மின்னஞ்சல் கவர்ச்சிகளைப் பயன்படுத்துகின்றனர்.
பொருளடக்கம்
இந்த மால்வேரை சந்திக்கவும்: GRAPELOADER மற்றும் WINELOADER
நோய்த்தொற்றின் பிந்தைய கட்டங்களில் WINELOADER ஒரு மட்டு பின்கதவாகச் செயல்படும் அதே வேளையில், GRAPELOADER ஆரம்ப கட்டத்திற்குத் தேர்ந்தெடுக்கப்பட்ட கருவியாகும். GRAPELOADER கையாளுகிறது:
- கணினி கைரேகை எடுத்தல்
- விண்டோஸ் பதிவேட்டில் மாற்றங்கள் மூலம் நிலைத்தன்மை
- பாதிக்கப்பட்ட ஹோஸ்ட்களுக்கு பேலோட் டெலிவரி
GRAPELOADER இன் நிலைத்தன்மையை அடைந்தவுடன், தீம்பொருள் ஒரு முடிவில்லா சுழற்சியில் நுழைந்து, ஒவ்வொரு 60 வினாடிகளுக்கும் அதன் கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேவையகத்தை அடைகிறது. அதன் ஆரம்ப தகவல்தொடர்பின் போது, அது பயனர்பெயர், கணினிபெயர், செயல்முறைபெயர் மற்றும் செயல்முறைPID போன்ற முக்கிய அமைப்பு விவரங்களைச் சேகரிக்கிறது. இந்தத் தகவல் ஒரு கடினக் குறியீடாக்கப்பட்ட 64-எழுத்து ஹெக்ஸாடெசிமல் சரத்துடன் தொகுக்கப்பட்டுள்ளது - இது ஒரு பிரச்சாரம் அல்லது பதிப்பு அடையாளங்காட்டியாகச் செயல்படும் - மேலும் HTTPS POST கோரிக்கை மூலம் C2 சேவையகத்திற்கு அனுப்பப்படுகிறது.
அவற்றின் வெவ்வேறு பாத்திரங்கள் இருந்தபோதிலும், இரண்டு கருவிகளும் ஒரே மாதிரியான குறியீட்டு அமைப்புகளைப் பகிர்ந்து கொள்கின்றன மற்றும் சரம் குறியாக்கம் மற்றும் இயக்க நேர API தீர்வு உள்ளிட்ட மேம்பட்ட தெளிவின்மை நுட்பங்களைப் பயன்படுத்துகின்றன. GRAPELOADER என்பது பழைய HTA பதிவிறக்கியான ROOTSAW இன் மிகவும் ரகசியமான வாரிசாகக் கருதப்படுகிறது.
தந்திரோபாய ஏமாற்று வேலை: மதுவை சுவைக்கும் கவர்ச்சியிலிருந்து தீம்பொருள் செயல்படுத்தல் வரை
bakenhof.com மற்றும் silry.com ஆகிய டொமைன்களிலிருந்து உருவாகும் ஃபிஷிங் மின்னஞ்சல்கள், ஐரோப்பிய வெளியுறவு அமைச்சகத்தைப் போல ஆள்மாறாட்டம் செய்து, பெறுநர்களை ஒரு போலி ஒயின்-ருசி நிகழ்வுக்கு அழைக்கின்றன. இணைக்கப்பட்ட ZIP காப்பகமான wine.zip, மூன்று முக்கிய கோப்புகளைக் கொண்டுள்ளது:
- AppvIsvSubsystems64.dll – DLL பக்க ஏற்றுதலுக்குப் பயன்படுத்தப்படும் ஒரு சார்புநிலை.
- wine.exe – தீம்பொருளைத் தொடங்கப் பயன்படுத்தப்படும் ஒரு முறையான PowerPoint இயங்கக்கூடிய கோப்பு.
- ppcore.dll – பக்க ஏற்றுதல் மூலம் தீங்கிழைக்கும் DLL (GRAPELOADER) தொடங்கப்பட்டது.
செயல்படுத்தப்பட்டதும், ஒவ்வொரு கணினி துவக்கத்திலும் wine.exe ஐ இயக்க பதிவேட்டை மாற்றுவதன் மூலம் தீம்பொருள் நிலைத்தன்மையை உறுதி செய்கிறது.
ஒரு பரந்த வலை: ஐரோப்பாவின் எல்லைகளுக்கு அப்பால்
இந்தப் பிரச்சாரம் முதன்மையாக ஐரோப்பிய வெளியுறவு அமைச்சகங்கள் மற்றும் தூதரகங்களை குறிவைக்கிறது. இருப்பினும், மத்திய கிழக்கில் நிறுத்தப்பட்டுள்ள தூதரகப் பணியாளர்களும் இதில் ஈடுபடக்கூடும் என்பதற்கான சான்றுகள் தெரிவிக்கின்றன. GRAPELOADER அமைப்புத் தரவை வெளிப்புற சேவையகத்திற்கு வெளியேற்றுவது மட்டுமல்லாமல், WINELOADER ஐ முதன்மை தரவுத்தளமாக வழங்குவதற்கும் வழி வகுக்கிறது என்று ஆராய்ச்சியாளர்கள் குறிப்பிட்டனர். பொருந்தக்கூடிய தொகுப்பு நேர முத்திரைகளுடன் கூடிய WINELOADER இன் புதுப்பிக்கப்பட்ட பதிப்புகள் வெளிவந்துள்ளன, இது தீம்பொருள் குடும்பத்தை மேலும் ஒன்றாக இணைக்கிறது.
முடிவு: APT29 இன் ஆர்சனலில் GRAPELOADER இன் பங்கு
பழைய கருவிகளை GRAPELOADER உடன் மாற்றுவதன் மூலம், APT29 சைபர் உளவுத்துறையில் அதன் தொடர்ச்சியான கண்டுபிடிப்புகளைக் காட்டுகிறது. இந்த பிரச்சாரம், அதிநவீன சமூக பொறியியல், திருட்டுத்தனமான தீம்பொருள் வடிவமைப்புடன் இணைந்து, அதிக மதிப்புள்ள அரசாங்க இலக்குகளை ஊடுருவுவதற்கு ஒரு சக்திவாய்ந்த உத்தியாக எவ்வாறு உள்ளது என்பதை எடுத்துக்காட்டுகிறது.
