GRAPELOADER恶意软件
受俄罗斯政府支持的黑客组织 APT29(又名 Cozy Bear 或 Midnight Blizzard)发起了一场新的网络钓鱼攻击活动,目标是欧洲各地的外交机构。此次攻击活动使用了重制版的WINELOADER 后门程序和新发现的恶意软件加载程序 GRAPELOADER。攻击者使用极具诱惑力的电子邮件诱饵,诱骗收件人执行伪装成品酒活动邀请函的威胁性 ZIP 压缩包。
目录
认识一下这种恶意软件:GRAPELOADER 和 WINELOADER
WINELOADER 在感染的后期阶段充当模块化后门,而 GRAPELOADER 则是初始阶段的首选工具。GRAPELOADER 负责处理:
- 系统指纹识别
- 通过修改 Windows 注册表实现持久性
- 向受感染主机传递有效载荷
一旦 GRAPELOADER 实现持久化,该恶意软件就会进入无限循环,每 60 秒连接一次其命令与控制 (C2) 服务器。在初始通信过程中,它会收集关键系统详细信息,例如用户名、计算机名、进程名和进程 PID。这些信息会与一个硬编码的 64 个字符的十六进制字符串(可能用作活动或版本标识符)一起打包,并通过 HTTPS POST 请求传输到 C2 服务器。
尽管作用不同,这两款工具的代码结构相似,并采用了高级混淆技术,包括字符串加密和运行时 API 解析。GRAPELOADER 被认为是 ROOTSAW(一款老款 HTA 下载程序)的更隐蔽的继任者。
战术欺骗:从品酒诱惑到恶意软件执行
这些钓鱼邮件源自域名bakenhof.com和silry.com,冒充欧洲外交部,邀请收件人参加虚假的葡萄酒品鉴活动。附件中的ZIP压缩包wine.zip包含三个关键文件:
- AppvIsvSubsystems64.dll – 用于 DLL 侧加载的依赖项
- wine.exe – 一个合法的 PowerPoint 可执行文件,用于启动恶意软件
- ppcore.dll – 通过侧载启动的恶意 DLL(GRAPELOADER)
一旦执行,恶意软件就会通过修改注册表以在每次系统启动时运行 wine.exe 来确保持久性。
更广阔的网络:超越欧洲边界
此次攻击活动主要针对欧洲各国外交部和大使馆。然而,有证据表明,驻中东的外交人员也可能成为攻击目标。研究人员指出,GRAPELOADER 不仅会将系统数据泄露到外部服务器,还为 WINELOADER 作为主要载荷的投递铺平了道路。目前已发现 WINELOADER 的更新版本,其编译时间戳也与之匹配,进一步将这两个恶意软件家族联系在一起。
结论:GRAPELOADER 在 APT29 武器库中的作用
APT29使用 GRAPELOADER 替换旧工具,展现了其在网络间谍活动方面的持续创新。此次活动充分展现了复杂的社会工程学与隐秘的恶意软件设计相结合,仍然是渗透高价值政府目标的有效策略。
