GRAPELOADER Malware

Ang Russian state-supported hacking group na APT29, na kilala rin bilang Cozy Bear o Midnight Blizzard, ay naglunsad ng bagong phishing campaign na nagta-target sa mga diplomatikong entity sa buong Europe. Gumagamit ang campaign na ito ng reworked na bersyon ng WINELOADER Backdoor at isang bagong tuklas na malware loader, GRAPELOADER. Gumagamit ang mga umaatake ng mga nakakakumbinsi na pang-akit sa email para linlangin ang mga tatanggap na magsagawa ng isang nagbabantang ZIP archive na itinago bilang isang imbitasyon sa isang kaganapan sa pagtikim ng alak.

Kilalanin ang Malware na ito: GRAPELOADER at WINELOADER

Habang gumaganap ang WINELOADER bilang modular backdoor sa mga huling yugto ng impeksyon, ang GRAPELOADER ay ang tool na pinili para sa unang yugto. GRAPELOADER humahawak:

• System fingerprinting
• Pagtitiyaga sa pamamagitan ng mga pagbabago sa Windows Registry
• Paghahatid ng payload sa mga nahawaang host

Kapag naabot na ang pagtitiyaga ng GRAPELOADER, papasok ang malware sa isang walang katapusang loop, na umaabot sa Command-and-Control (C2) server nito bawat 60 segundo. Sa panahon ng paunang komunikasyon nito, nagtitipon ito ng mga pangunahing detalye ng system tulad ng UserName, ComputerName, ProcessName at ProcessPID. Naka-package ang impormasyong ito kasama ng isang hardcoded na 64-character na hexadecimal string—malamang na nagsisilbing campaign o version identifier—at ipinadala sa C2 server sa pamamagitan ng HTTPS POST na kahilingan.

Sa kabila ng kanilang magkaibang mga tungkulin, ang parehong mga tool ay nagbabahagi ng mga katulad na istruktura ng code at gumagamit ng mga advanced na diskarte sa obfuscation, kabilang ang pag-encrypt ng string at paglutas ng runtime API. Ang GRAPELOADER ay itinuturing na isang mas palihim na kahalili sa ROOTSAW, isang mas lumang HTA downloader.

Taktikal na Panlilinlang: Mula sa Wine-Tasting Lures hanggang sa Malware Execution

Ang mga phishing na email, na nagmula sa mga domain na bakenhof.com at silry.com, ay nagpapanggap bilang isang European Ministry of Foreign Affairs at nag-iimbita ng mga tatanggap sa isang pekeng kaganapan sa pagtikim ng alak. Ang naka-attach na ZIP archive, wine.zip, ay naglalaman ng tatlong pangunahing file:

• AppvIsvSubsystems64.dll – Isang dependency na ginagamit para sa DLL sideloading
• wine.exe – Isang lehitimong PowerPoint executable na pinagsamantalahan para maglunsad ng malware
• ppcore.dll – Ang nakakahamak na DLL (GRAPELOADER) na inilunsad sa pamamagitan ng sideloading

Kapag naisakatuparan, tinitiyak ng malware ang pagtitiyaga sa pamamagitan ng pagbabago sa registry upang magpatakbo ng wine.exe sa bawat boot ng system.

Isang Mas Malapad na Net: Lampas sa Hangganan ng Europa

Pangunahing pinupuntirya ng kampanya ang European Ministries of Foreign Affairs at mga embahada. Gayunpaman, ang ebidensya ay nagmumungkahi na ang mga diplomatikong tauhan na nakatalaga sa Gitnang Silangan ay maaari ding nasa mga crosshair. Napansin ng mga mananaliksik na ang GRAPELOADER ay hindi lamang naglalabas ng data ng system sa isang panlabas na server ngunit nagbibigay din ng daan para sa paghahatid ng WINELOADER bilang pangunahing payload. Lumitaw ang mga na-update na bersyon ng WINELOADER na may katugmang mga timestamp ng compilation, na higit na nag-uugnay sa pamilya ng malware.

Konklusyon: Tungkulin ng GRAPELOADER sa Arsenal ng APT29

Sa pamamagitan ng pagpapalit ng mga lumang tool ng GRAPELOADER, ipinapakita ng APT29 ang patuloy na pagbabago nito sa cyber espionage. Ang kampanyang ito ay nagpapakita kung paano ang sopistikadong social engineering, kasama ng palihim na disenyo ng malware, ay nananatiling isang mabisang diskarte para sa paglusot sa mga matataas na halaga ng mga target ng pamahalaan.