Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım GRAPELOADER Kötü Amaçlı Yazılım

GRAPELOADER Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:
Türkçe

Rus devlet destekli hack grubu APT29, Cozy Bear veya Midnight Blizzard olarak da bilinir, Avrupa genelindeki diplomatik varlıkları hedef alan yeni bir kimlik avı kampanyası başlattı. Bu kampanya, WINELOADER Backdoor'un yeniden çalışılmış bir versiyonunu ve yeni keşfedilen bir kötü amaçlı yazılım yükleyicisi olan GRAPELOADER'ı kullanıyor. Saldırganlar, alıcıları bir şarap tadımı etkinliğine davet olarak gizlenmiş tehdit edici bir ZIP arşivini yürütmeye kandırmak için ikna edici e-posta tuzakları kullanıyor.

Bu Kötü Amaçlı Yazılımla Tanışın: GRAPELOADER ve WINELOADER

WINELOADER enfeksiyonun sonraki aşamalarında modüler bir arka kapı görevi görürken, GRAPELOADER ilk aşama için tercih edilen araçtır. GRAPELOADER şunları halleder:

  • Sistem parmak izi
  • Windows Kayıt Defteri değişiklikleri yoluyla kalıcılık
  • Yükün enfekte ana bilgisayarlara teslimi

GRAPELOADER'ın kalıcılığı sağlandıktan sonra, kötü amaçlı yazılım sonsuz bir döngüye girer ve her 60 saniyede bir Komuta ve Kontrol (C2) sunucusuna ulaşır. İlk iletişimi sırasında, KullanıcıAdı, BilgisayarAdı, İşlemAdı ve İşlemPID gibi önemli sistem ayrıntılarını toplar. Bu bilgiler, sabit kodlanmış 64 karakterlik bir onaltılık dizeyle birlikte paketlenir (muhtemelen bir kampanya veya sürüm tanımlayıcısı olarak hizmet eder) ve bir HTTPS POST isteği aracılığıyla C2 sunucusuna iletilir.

Farklı rollerine rağmen, her iki araç da benzer kod yapılarını paylaşır ve dize şifreleme ve çalışma zamanı API çözümlemesi dahil olmak üzere gelişmiş karartma teknikleri kullanır. GRAPELOADER, daha eski bir HTA indiricisi olan ROOTSAW'ın daha gizli bir halefi olarak kabul edilir.

Taktiksel Aldatmaca: Şarap Tadımı Yemlerinden Kötü Amaçlı Yazılım Uygulamalarına

bakenhof.com ve silry.com alan adlarından gelen kimlik avı e-postaları, Avrupa Dışişleri Bakanlığı'nı taklit ediyor ve alıcıları sahte bir şarap tadımı etkinliğine davet ediyor. Ekli ZIP arşivi, wine.zip, üç önemli dosya içeriyor:

  • AppvIsvSubsystems64.dll – DLL yan yüklemesi için kullanılan bir bağımlılık
  • wine.exe – Kötü amaçlı yazılım başlatmak için kullanılan meşru bir PowerPoint yürütülebilir dosyası
  • ppcore.dll – Yan yükleme yoluyla başlatılan kötü amaçlı DLL (GRAPELOADER)

Kötü amaçlı yazılım çalıştırıldığında, wine.exe'yi her sistem önyüklemesinde çalıştıracak şekilde kayıt defterini değiştirerek kalıcılığı garantiliyor.

Daha Geniş Bir Ağ: Avrupa Sınırlarının Ötesinde

Kampanya öncelikli olarak Avrupa Dışişleri Bakanlıkları ve elçiliklerini hedef alıyor. Ancak, kanıtlar Orta Doğu'da görevli diplomatik personelin de hedefte olabileceğini gösteriyor. Araştırmacılar, GRAPELOADER'ın yalnızca sistem verilerini harici bir sunucuya aktarmakla kalmayıp aynı zamanda WINELOADER'ı birincil yük olarak teslim etmenin yolunu da açtığını belirtti. Eşleşen derleme zaman damgalarına sahip güncellenmiş WINELOADER sürümleri ortaya çıktı ve kötü amaçlı yazılım ailesini daha da birbirine bağladı.

Sonuç: GRAPELOADER’ın APT29’un Cephaneliğindeki Rolü

APT29 , eski araçları GRAPELOADER ile değiştirerek siber casuslukta sürekli yeniliğini sergiliyor. Bu kampanya, gizli kötü amaçlı yazılım tasarımıyla birleştirilmiş sofistike sosyal mühendisliğin, yüksek değerli hükümet hedeflerine sızmak için nasıl etkili bir strateji olmaya devam ettiğini örnekliyor.

 

trend

Talep Edilmeyen Ödül E-posta Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Web'de güvenli bir şekilde gezinmek sürekli farkındalık gerektirir, çünkü dolandırıcılar her zaman şüphelenmeyen kullanıcıları sömürmenin yeni yollarını ararlar. Bu tür dolandırıcılık planlarından biri, kişisel bilgi ve para toplamak için tasarlanmış aldatıcı bir oyun olan Unclaimed Prize Email dolandırıcılığıdır. Bu taktik, meşru bir ödül bildirimi gibi görünerek heyecan ve merakı avlar ve...

En çok görüntülenen

Yükleniyor...