GRAPELOADER Шкідливе програмне забезпечення
Російська державна хакерська група APT29, також відома як Cosy Bear або Midnight Blizzard, запустила нову фішингову кампанію, націлену на дипломатичні установи по всій Європі. Ця кампанія використовує перероблену версію бекдора WINELOADER і нещодавно виявлений завантажувач шкідливих програм GRAPELOADER. Зловмисники використовують переконливі спокуси електронною поштою, щоб обманом змусити одержувачів створити загрозливий архів ZIP, замаскований під запрошення на дегустацію вина.
Зміст
Зустрічайте цю шкідливу програму: GRAPELOADER і WINELOADER
У той час як WINELOADER діє як модульний бекдор на пізніх стадіях зараження, GRAPELOADER є інструментом вибору для початкової стадії. GRAPELOADER керує:
- Системний відбиток
- Постійність через зміни реєстру Windows
- Доставка корисного навантаження на заражені хости
Після того як GRAPELOADER досягає стійкості, зловмисне програмне забезпечення входить у нескінченний цикл, звертаючись до свого сервера командування та керування (C2) кожні 60 секунд. Під час початкового зв’язку він збирає ключові відомості про систему, такі як ім’я користувача, ім’я комп’ютера, ім’я процесу та ідентифікатор процесу. Ця інформація упаковується разом із жорстко закодованим 64-символьним шістнадцятковим рядком, який, ймовірно, служить ідентифікатором кампанії чи версії, і передається на сервер C2 через запит HTTPS POST.
Незважаючи на їх різні ролі, обидва інструменти мають подібні структури коду та використовують передові методи обфускації, включаючи шифрування рядків і розпізнавання API під час виконання. GRAPELOADER вважається більш прихованим наступником ROOTSAW, старішого завантажувача HTA.
Тактичний обман: від приманок на дегустацію вина до застосування шкідливих програм
Фішингові електронні листи, що надходять із доменів bakenhof.com і silry.com, видають себе за Міністерство закордонних справ Європи та запрошують одержувачів на фейкову дегустацію вин. Доданий ZIP-архів wine.zip містить три ключові файли:
- AppvIsvSubsystems64.dll – залежність, яка використовується для бокового завантаження DLL
- wine.exe – законний виконуваний файл PowerPoint, який використовується для запуску зловмисного програмного забезпечення
- ppcore.dll – шкідлива DLL (GRAPELOADER), запущена через бокове завантаження
Після запуску зловмисне програмне забезпечення забезпечує стійкість, змінюючи реєстр для запуску wine.exe під час кожного завантаження системи.
Широка мережа: за межами Європи
Кампанія в першу чергу спрямована на міністерства закордонних справ і посольства європейських країн. Проте дані свідчать про те, що дипломатичний персонал, розміщений на Близькому Сході, також може бути під прицілом. Дослідники відзначили, що GRAPELOADER не тільки передає системні дані на зовнішній сервер, але й прокладає шлях для доставки WINELOADER як основного корисного навантаження. З’явилися оновлені версії WINELOADER із відповідними часовими мітками компіляції, що ще більше об’єднує сімейство шкідливих програм.
Висновок: роль GRAPELOADER в арсеналі APT29
Замінивши старі інструменти на GRAPELOADER, APT29 демонструє свої постійні інновації в кібершпигунстві. Ця кампанія є прикладом того, як складна соціальна інженерія в поєднанні з прихованим дизайном зловмисного програмного забезпечення залишається потужною стратегією для проникнення в ціль уряду високої вартості.
