Državno-sponzorisana ruska hakerska grupa poznata kao APT29 povezana je s naprednom phishing kampanjom usmjerenom na diplomatske entitete širom Evrope, koristeći novu varijantu malvera WINELOADER i prethodno nepoznati malver loader GRAPELOADER.
“Iako je unaprijeđeni WINELOADER i dalje modularni backdoor koji se koristi u kasnijim fazama napada, GRAPELOADER je novi alat prve faze koji se koristi za prikupljanje informacija o sistemu, upornost i isporuku daljih payload-a,” navodi se u tehničkoj analizi koju je ranije ove sedmice objavio Check Point.
GRAPELOADER dijeli sličnosti u strukturi koda, metodama obfuskacije i dešifrovanju stringova sa WINELOADER-om, ali uvodi i naprednije tehnike skrivanja i anti-analize.
Metod napada: Pozivnice za degustaciju vina
Kampanja koristi email pozivnice koje se predstavljaju kao pozivi iz evropskih Ministarstava vanjskih poslova na događaje degustacije vina. Klikom na link žrtve preuzimaju ZIP arhivu sa malicioznim fajlovima (“wine.zip”), čime se pokreće infekcija GRAPELOADER-om.
Emailovi su slani s domena:
- bakenhof[.]com
- silry[.]com
ZIP arhiva sadrži tri fajla:
- AppvIsvSubsystems64.dll – maliciozna DLL biblioteka
- wine.exe – legitimna PowerPoint aplikacija
- ppcore.dll – maliciozne DLL koja se učitava side-loading tehnikom putem wine.exe
GRAPELOADER se pokreće putem ppcore.dll, a za perzistentnost koristi modifikaciju Windows registra kako bi wine.exe bio automatski pokrenut pri svakom paljenju sistema.
Ciljevi i funkcionalnost GRAPELOADER-a
Kampanja cilja:
- Ministarstva vanjskih poslova više evropskih država
- Ambasade stranih zemalja u Evropi
- Diplomate na Bliskom Istoku
GRAPELOADER:
- Koristi obfuskaciju stringova i dinamičko pozivanje API-ja
- Prikuplja osnovne informacije o zaraženom računaru
- Komunicira sa eksternim serverom kako bi preuzeo sljedeći malver payload
Check Point navodi da je GRAPELOADER zamijenio ROOTSAW, HTA downloader korišten u ranijim napadima APT29 grupe za isporuku WINELOADER-a, što dodatno potvrđuje njegovu ulogu u infekcijskom lancu.
Gamaredon koristi PteroLNK za USB infekcije
U međuvremenu, HarfangLab je objavio detalje o Gamaredon-ovom malveru PteroLNK, koji koristi VBScript i PowerShell verzije malvera za infekciju USB uređaja.
- PteroLNK se automatski kopira na svaki priključeni USB uređaj
- Izvršava se klikom na LNK prečice koje zamjenjuju legitimne .pdf, .docx, i .xlsx fajlove
- Scripte se izvršavaju periodično – downloader svakih 3 minuta, LNK dropper svakih 9 minuta
Ovi moduli omogućavaju:
- Skidanje dodatnih payload-a
- Replikaciju preko mrežnih i lokalnih diskova
- Skrivanje originalnih fajlova
“Gamaredon funkcioniše kao ključna komponenta ruskih sajber operacija, posebno u sukobu s Ukrajinom,” navodi HarfangLab.
“Njihova snaga leži u brzini, agresivnim fišing kampanjama i adaptabilnosti, a ne nužno u tehničkoj sofisticiranosti.”
Izvor:The Hacker News