Phần mềm độc hại GRAPELOADER

Nhóm tin tặc được nhà nước Nga hỗ trợ APT29, còn được gọi là Cozy Bear hoặc Midnight Blizzard, đã phát động một chiến dịch lừa đảo mới nhắm vào các thực thể ngoại giao trên khắp châu Âu. Chiến dịch này sử dụng phiên bản được làm lại của WINELOADER Backdoor và một trình tải phần mềm độc hại mới được phát hiện, GRAPELOADER. Những kẻ tấn công sử dụng các mồi nhử email thuyết phục để lừa người nhận thực hiện một tệp ZIP đe dọa được ngụy trang dưới dạng lời mời tham gia sự kiện nếm rượu vang.

Gặp gỡ phần mềm độc hại này: GRAPELOADER và WINELOADER

Trong khi WINELOADER hoạt động như một cửa hậu mô-đun trong các giai đoạn sau của quá trình lây nhiễm, GRAPELOADER là công cụ được lựa chọn cho giai đoạn đầu. GRAPELOADER xử lý:

• Hệ thống dấu vân tay
• Sự bền bỉ thông qua các sửa đổi của Windows Registry
• Phân phối tải trọng đến máy chủ bị nhiễm

Sau khi GRAPELOADER đạt được sự bền bỉ, phần mềm độc hại sẽ đi vào một vòng lặp vô tận, liên lạc với máy chủ Command-and-Control (C2) của nó sau mỗi 60 giây. Trong quá trình giao tiếp ban đầu, nó thu thập các chi tiết hệ thống quan trọng như UserName, ComputerName, ProcessName và ProcessPID. Thông tin này được đóng gói cùng với chuỗi thập lục phân 64 ký tự được mã hóa cứng—có khả năng đóng vai trò là mã định danh chiến dịch hoặc phiên bản—và được truyền đến máy chủ C2 thông qua yêu cầu HTTPS POST.

Mặc dù có vai trò khác nhau, cả hai công cụ đều có cấu trúc mã tương tự nhau và sử dụng các kỹ thuật che giấu nâng cao, bao gồm mã hóa chuỗi và giải quyết API thời gian chạy. GRAPELOADER được coi là người kế nhiệm bí mật hơn của ROOTSAW, một trình tải xuống HTA cũ hơn.

Lừa đảo chiến thuật: Từ mồi nhử nếm rượu đến thực thi phần mềm độc hại

Các email lừa đảo, xuất phát từ các tên miền bakenhof.com và silry.com, mạo danh Bộ Ngoại giao Châu Âu và mời người nhận đến một sự kiện nếm thử rượu vang giả. Tệp ZIP đính kèm, wine.zip, chứa ba tệp chính:

• AppvIsvSubsystems64.dll – Một phụ thuộc được sử dụng để tải DLL
• wine.exe – Một tệp thực thi PowerPoint hợp lệ được khai thác để khởi chạy phần mềm độc hại
• ppcore.dll – DLL độc hại (GRAPELOADER) được khởi chạy thông qua sideloading

Sau khi thực thi, phần mềm độc hại sẽ duy trì hoạt động bằng cách sửa đổi sổ đăng ký để chạy wine.exe mỗi khi khởi động hệ thống.

Một mạng lưới rộng hơn: Vượt ra ngoài biên giới Châu Âu

Chiến dịch này chủ yếu nhắm vào các Bộ Ngoại giao và đại sứ quán châu Âu. Tuy nhiên, bằng chứng cho thấy nhân viên ngoại giao đồn trú tại Trung Đông cũng có thể nằm trong tầm ngắm. Các nhà nghiên cứu lưu ý rằng GRAPELOADER không chỉ trích dữ liệu hệ thống đến một máy chủ bên ngoài mà còn mở đường cho việc phân phối WINELOADER làm tải trọng chính. Các phiên bản cập nhật của WINELOADER với dấu thời gian biên dịch phù hợp đã xuất hiện, liên kết chặt chẽ hơn nữa họ phần mềm độc hại này với nhau.

Kết luận: Vai trò của GRAPELOADER trong kho vũ khí của APT29

Bằng cách thay thế các công cụ cũ bằng GRAPELOADER, APT29 thể hiện sự đổi mới liên tục của mình trong hoạt động gián điệp mạng. Chiến dịch này minh họa cho cách thức kỹ thuật xã hội tinh vi, kết hợp với thiết kế phần mềm độc hại lén lút, vẫn là một chiến lược mạnh mẽ để xâm nhập vào các mục tiêu có giá trị cao của chính phủ.