มัลแวร์ GRAPELOADER

กลุ่มแฮกเกอร์ APT29 ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย หรือที่รู้จักกันในชื่อ Cozy Bear หรือ Midnight Blizzard ได้เปิดตัวแคมเปญฟิชชิ่งใหม่ที่กำหนดเป้าหมายหน่วยงานทางการทูตทั่วทั้งยุโรป แคมเปญนี้ใช้ WINELOADER Backdoor เวอร์ชันที่ปรับปรุงใหม่และตัวโหลดมัลแวร์ที่เพิ่งค้นพบใหม่คือ GRAPELOADER ผู้โจมตีใช้อีเมลล่อลวงเพื่อหลอกล่อผู้รับให้ดำเนินการบีบอัดไฟล์ ZIP ที่เป็นอันตรายซึ่งปลอมตัวเป็นคำเชิญไปร่วมงานชิมไวน์

พบกับมัลแวร์ตัวนี้: GRAPELOADER และ WINELOADER

ในขณะที่ WINELOADER ทำหน้าที่เป็นแบ็กดอร์แบบโมดูลาร์ในระยะหลังของการติดเชื้อ GRAPELOADER เป็นเครื่องมือที่เลือกใช้สำหรับระยะเริ่มต้น GRAPELOADER จัดการ:

• การพิมพ์ลายนิ้วมือระบบ
• การคงอยู่ผ่านการปรับเปลี่ยนรีจิสทรีของ Windows
• การจัดส่งเพย์โหลดไปยังโฮสต์ที่ติดเชื้อ

เมื่อ GRAPELOADER ทำงานได้อย่างต่อเนื่อง มัลแวร์จะเข้าสู่วงจรซ้ำซากที่ส่งถึงเซิร์ฟเวอร์ Command-and-Control (C2) ทุกๆ 60 วินาที ในระหว่างการสื่อสารเบื้องต้น มัลแวร์จะรวบรวมรายละเอียดระบบสำคัญๆ เช่น ชื่อผู้ใช้ ชื่อคอมพิวเตอร์ ชื่อกระบวนการ และรหัสกระบวนการ ข้อมูลนี้จะถูกบรรจุพร้อมกับสตริงเลขฐานสิบหก 64 อักขระที่เข้ารหัสแบบฮาร์ดโค้ด ซึ่งน่าจะใช้เป็นตัวระบุแคมเปญหรือเวอร์ชัน และส่งไปยังเซิร์ฟเวอร์ C2 ผ่านคำขอ HTTPS POST

แม้จะมีบทบาทที่แตกต่างกัน แต่เครื่องมือทั้งสองก็มีโครงสร้างโค้ดที่คล้ายกันและใช้เทคนิคการเข้ารหัสขั้นสูง รวมถึงการเข้ารหัสสตริงและการแก้ไข API รันไทม์ GRAPELOADER ถือเป็นตัวต่อจาก ROOTSAW ซึ่งเป็นโปรแกรมดาวน์โหลด HTA รุ่นเก่าที่แอบซ่อนอยู่

การหลอกลวงเชิงกลยุทธ์: จากการล่อลวงด้วยการชิมไวน์ไปจนถึงการดำเนินการด้วยมัลแวร์

อีเมลฟิชชิ่งที่มาจากโดเมน bakenhof.com และ silry.com แอบอ้างเป็นกระทรวงการต่างประเทศของยุโรปและเชิญชวนผู้รับเข้าร่วมงานชิมไวน์ปลอม ไฟล์ ZIP ที่แนบมาคือ wine.zip มีไฟล์สำคัญ 3 ไฟล์ ได้แก่:

• AppvIsvSubsystems64.dll – ส่วนที่ต้องมีสำหรับการโหลด DLL จากแหล่งอื่น
• wine.exe – ไฟล์ปฏิบัติการ PowerPoint ที่ถูกกฎหมายซึ่งถูกใช้เพื่อเปิดมัลแวร์
• ppcore.dll – DLL ที่เป็นอันตราย (GRAPELOADER) ที่เปิดใช้งานผ่านการโหลดด้านข้าง

เมื่อดำเนินการแล้ว มัลแวร์จะรับประกันการคงอยู่โดยการแก้ไขรีจิสทรีเพื่อเรียกใช้ wine.exe ทุกครั้งที่บูตระบบ

เครือข่ายที่กว้างขึ้น: เหนือขอบเขตของยุโรป

แคมเปญนี้มุ่งเป้าไปที่กระทรวงการต่างประเทศและสถานทูตของยุโรปเป็นหลัก อย่างไรก็ตาม หลักฐานบ่งชี้ว่าเจ้าหน้าที่ทางการทูตที่ประจำการอยู่ในตะวันออกกลางก็อาจตกเป็นเป้าหมายเช่นกัน นักวิจัยสังเกตว่า GRAPELOADER ไม่เพียงแต่ขโมยข้อมูลระบบไปยังเซิร์ฟเวอร์ภายนอกเท่านั้น แต่ยังปูทางสำหรับการส่ง WINELOADER เป็นเพย์โหลดหลักอีกด้วย มีการเปิดตัว WINELOADER เวอร์ชันอัปเดตพร้อมไทม์สแตมป์การคอมไพล์ที่ตรงกัน ซึ่งเชื่อมโยงตระกูลมัลแวร์เข้าด้วยกันมากขึ้น

บทสรุป: บทบาทของ GRAPELOADER ในคลังอาวุธของ APT29

APT29 แสดงให้เห็นถึงนวัตกรรมอย่างต่อเนื่องในการจารกรรมทางไซเบอร์ด้วยการแทนที่เครื่องมือรุ่นเก่าด้วย GRAPELOADER แคมเปญนี้เป็นตัวอย่างว่าวิศวกรรมสังคมที่ซับซ้อนควบคู่ไปกับการออกแบบมัลแวร์ที่ซ่อนเร้นยังคงเป็นกลยุทธ์ที่มีประสิทธิภาพในการแทรกซึมเป้าหมายที่มีมูลค่าสูงของรัฐบาล