GRAPELOADER Malware

రష్యన్ ప్రభుత్వ మద్దతు ఉన్న హ్యాకింగ్ గ్రూప్ APT29, దీనిని కోజీ బేర్ లేదా మిడ్‌నైట్ బ్లిజార్డ్ అని కూడా పిలుస్తారు, ఇది యూరప్ అంతటా దౌత్య సంస్థలను లక్ష్యంగా చేసుకుని కొత్త ఫిషింగ్ ప్రచారాన్ని ప్రారంభించింది. ఈ ప్రచారం WINELOADER బ్యాక్‌డోర్ యొక్క పునర్నిర్మించిన వెర్షన్ మరియు కొత్తగా కనుగొనబడిన మాల్వేర్ లోడర్, GRAPELOADER ను ఉపయోగిస్తుంది. దాడి చేసేవారు వైన్-రుచి కార్యక్రమానికి ఆహ్వానం వలె మారువేషంలో బెదిరింపు జిప్ ఆర్కైవ్‌ను అమలు చేయడానికి గ్రహీతలను మోసగించడానికి నమ్మకమైన ఇమెయిల్ ఎరలను ఉపయోగిస్తారు.

ఈ మాల్వేర్‌ను కలవండి: GRAPELOADER మరియు WINELOADER

ఇన్ఫెక్షన్ యొక్క తరువాతి దశలలో WINELOADER మాడ్యులర్ బ్యాక్‌డోర్‌గా పనిచేస్తుండగా, GRAPELOADER ప్రారంభ దశకు ఎంపిక చేసుకునే సాధనం. GRAPELOADER వీటిని నిర్వహిస్తుంది:

• సిస్టమ్ ఫింగర్ ప్రింటింగ్
• విండోస్ రిజిస్ట్రీ సవరణల ద్వారా నిలకడ
• సోకిన హోస్ట్‌లకు పేలోడ్ డెలివరీ

GRAPELOADER యొక్క నిలకడ సాధించిన తర్వాత, మాల్వేర్ అంతులేని లూప్‌లోకి ప్రవేశిస్తుంది, ప్రతి 60 సెకన్లకు దాని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌ను చేరుకుంటుంది. దాని ప్రారంభ కమ్యూనికేషన్ సమయంలో, ఇది యూజర్‌నేమ్, కంప్యూటర్‌నేమ్, ప్రాసెస్‌నేమ్ మరియు ప్రాసెస్‌పిఐడి వంటి కీలక సిస్టమ్ వివరాలను సేకరిస్తుంది. ఈ సమాచారం హార్డ్‌కోడ్ చేయబడిన 64-అక్షరాల హెక్సాడెసిమల్ స్ట్రింగ్‌తో పాటు ప్యాక్ చేయబడుతుంది - బహుశా ప్రచారం లేదా వెర్షన్ ఐడెంటిఫైయర్‌గా ఉపయోగపడుతుంది - మరియు HTTPS POST అభ్యర్థన ద్వారా C2 సర్వర్‌కు ప్రసారం చేయబడుతుంది.

వాటి పాత్రలు భిన్నంగా ఉన్నప్పటికీ, రెండు సాధనాలు ఒకేలాంటి కోడ్ నిర్మాణాలను పంచుకుంటాయి మరియు స్ట్రింగ్ ఎన్‌క్రిప్షన్ మరియు రన్‌టైమ్ API రిసల్వింగ్‌తో సహా అధునాతన అస్పష్టత పద్ధతులను ఉపయోగిస్తాయి. GRAPELOADER పాత HTA డౌన్‌లోడ్ అయిన ROOTSAW కి మరింత రహస్య వారసుడిగా పరిగణించబడుతుంది.

వ్యూహాత్మక మోసం: వైన్-రుచి ఎరల నుండి మాల్వేర్ అమలు వరకు

bakenhof.com మరియు silry.com డొమైన్‌ల నుండి ఉద్భవించే ఈ ఫిషింగ్ ఇమెయిల్‌లు యూరోపియన్ విదేశాంగ మంత్రిత్వ శాఖ వలె నటించి, గ్రహీతలను నకిలీ వైన్-రుచి కార్యక్రమానికి ఆహ్వానిస్తాయి. జతచేయబడిన ZIP ఆర్కైవ్, wine.zip, మూడు కీలక ఫైళ్లను కలిగి ఉంది:

• AppvIsvSubsystems64.dll – DLL సైడ్‌లోడింగ్ కోసం ఉపయోగించే డిపెండెన్సీ
• wine.exe – మాల్వేర్‌ను ప్రారంభించడానికి ఉపయోగించే చట్టబద్ధమైన పవర్ పాయింట్ ఎక్జిక్యూటబుల్.
• ppcore.dll – సైడ్‌లోడింగ్ ద్వారా లాంచ్ అయిన హానికరమైన DLL (GRAPELOADER).

ఒకసారి అమలు చేయబడిన తర్వాత, ప్రతి సిస్టమ్ బూట్‌లో wine.exeని అమలు చేయడానికి రిజిస్ట్రీని సవరించడం ద్వారా మాల్వేర్ నిలకడను నిర్ధారిస్తుంది.

విస్తృత వల: యూరప్ సరిహద్దులకు మించి

ఈ ప్రచారం ప్రధానంగా యూరోపియన్ విదేశాంగ మంత్రిత్వ శాఖలు మరియు రాయబార కార్యాలయాలను లక్ష్యంగా చేసుకుంది. అయితే, మధ్యప్రాచ్యంలో ఉన్న దౌత్య సిబ్బంది కూడా దీని కోసం ఎదురు చూస్తున్నారని ఆధారాలు సూచిస్తున్నాయి. GRAPELOADER సిస్టమ్ డేటాను బాహ్య సర్వర్‌కు ఫిల్టర్ చేయడమే కాకుండా WINELOADERను ప్రాథమిక పేలోడ్‌గా డెలివరీ చేయడానికి కూడా మార్గం సుగమం చేస్తుందని పరిశోధకులు గుర్తించారు. సరిపోలే సంకలన టైమ్‌స్టాంప్‌లతో WINELOADER యొక్క నవీకరించబడిన సంస్కరణలు కనిపించాయి, ఇది మాల్వేర్ కుటుంబాన్ని మరింతగా కలుపుతోంది.

ముగింపు: APT29 యొక్క ఆర్సెనల్‌లో GRAPELOADER పాత్ర

పాత సాధనాలను GRAPELOADERతో భర్తీ చేయడం ద్వారా, APT29 సైబర్ గూఢచర్యంలో దాని నిరంతర ఆవిష్కరణలను ప్రదర్శిస్తుంది. ఈ ప్రచారం అధునాతన సోషల్ ఇంజనీరింగ్, దొంగతనమైన మాల్వేర్ డిజైన్‌తో కలిపి, అధిక-విలువైన ప్రభుత్వ లక్ష్యాలను చొరబడటానికి ఎంత శక్తివంతమైన వ్యూహంగా ఉందో వివరిస్తుంది.