GRAPELOADER惡意軟體
俄羅斯政府支持的駭客組織 APT29(也稱為 Cozy Bear 或 Midnight Blizzard)發起了針對歐洲各地外交實體的新網路釣魚活動。此次活動採用了WINELOADER 後門的重新製作版本和新發現的惡意軟體載入程式 GRAPELOADER。攻擊者使用令人信服的電子郵件誘餌,誘騙收件人執行偽裝成品酒活動邀請的威脅性 ZIP 檔案。
目錄
認識這種惡意軟體:GRAPELOADER 和 WINELOADER
雖然 WINELOADER 在感染的後期充當模組化後門,但 GRAPELOADER 是初始階段的首選工具。 GRAPELOADER 手把:
- 系統指紋識別
- 透過修改 Windows 註冊表實現持久性
- 向受感染主機傳遞有效載荷
一旦實現 GRAPELOADER 的持久性,惡意軟體就會進入無限循環,每 60 秒聯繫一次其命令和控制 (C2) 伺服器。在初始通訊期間,它會收集關鍵系統詳細信息,例如使用者名稱、電腦名稱、進程名稱和進程 PID。這些資訊與硬編碼的 64 個字元的十六進位字串(可能用作活動或版本識別碼)一起打包,並透過 HTTPS POST 請求傳輸到 C2 伺服器。
儘管作用不同,但這兩種工具都具有相似的程式碼結構,並採用了高級混淆技術,包括字串加密和運行時 API 解析。 GRAPELOADER 被認為是 ROOTSAW(較舊的 HTA 下載程式)的更隱密的繼任者。
戰術欺騙:從品酒誘惑到惡意軟體執行
這些網路釣魚電子郵件源自網域bakenhof.com和silry.com,冒充歐洲外交部並邀請收件者參加假的品酒活動。附件的 ZIP 壓縮套件 wine.zip 包含三個關鍵檔案:
- AppvIsvSubsystems64.dll – 用於 DLL 側載入的依賴項
- wine.exe – 一個合法的 PowerPoint 執行文件,用於啟動惡意軟體
- ppcore.dll – 透過側載啟動的惡意 DLL(GRAPELOADER)
一旦執行,惡意軟體就會透過修改登錄機碼以在每次系統啟動時執行 wine.exe 來確保持久性。
更廣闊的網路:超越歐洲邊界
此次活動主要針對歐洲外交部和大使館。然而,有證據表明,駐中東的外交人員也可能成為攻擊目標。研究人員指出,GRAPELOADER 不僅將系統資料外洩到外部伺服器,還為傳遞 WINELOADER 作為主要有效載荷鋪平了道路。具有匹配編譯時間戳記的 WINELOADER 更新版本已經浮出水面,進一步將惡意軟體家族聯繫在一起。
結論:GRAPELOADER 在 APT29 武器庫中的作用
透過以 GRAPELOADER 取代舊工具, APT29展示了其在網路間諜活動方面的持續創新。這次活動表明,複雜的社會工程與隱密的惡意軟體設計相結合,仍然是滲透高價值政府目標的有效策略。
