بازیگر تهدید دولت روسیه معروف به APT29 با یک کمپین پیشرفته فیشینگ مرتبط است که اشخاص دیپلماتیک را در سراسر اروپا با یک نوع جدید از WinEloader و یک لودر بدافزار که قبلاً گزارش نشده است ، هدف قرار داده است.
“در حالی که نوع WineLoader بهبود یافته هنوز یک پشتی مدولار است که در مراحل بعدی مورد استفاده قرار می گیرد ، Grapeloader ابزاری است که به تازگی مشاهده شده است که برای اثر انگشت ، پایداری و تحویل بار استفاده می شود ،” Test Level گفته شده در یک تحلیل فنی که در اوایل این هفته منتشر شد.
“با وجود نقش های مختلف ، هر دو شباهت در ساختار کد ، انسداد و رمزگشایی رشته دارند. Grapeloader تکنیک های ضد تجزیه و تحلیل WineLoader را ضمن معرفی روش های پیشرفته تر مخفی کردن ، اصلاح می کند.”
استفاده از WineLoader بود اولین مستند توسط Zscaler تهدید در فوریه 2024 ، با حملات با استفاده از طعمه های چشیدن شراب برای آلوده کردن سیستم های کارکنان دیپلماتیک.
در حالی که این کمپین برای اولین بار به یک خوشه فعالیت تهدید به نام Spikedwine نسبت داده شد ، تجزیه و تحلیل بعدی توسط Google متعلق به Mandiant متصل این گروه به گروه هک کردن APT29 (AKA Bear یا Blizzard Midnight Bear یا Blizzard) که وابسته به سرویس اطلاعات خارجی روسیه (SVR) است.
آخرین مجموعه حملات مستلزم ارسال نامه الکترونیکی دعوت از جعل هویت یک وزارت امور خارجه اروپایی نامشخص به اهداف رویدادهای با طعم شراب است ، و آنها را در کلیک روی پیوندی که باعث استقرار Grapeloader با استفاده از بایگانی زیپ مخرب (“Wine.zip”) می شود. ایمیل ها از دامنه های bakenhof (.) com و silry (.) com ارسال شده است.
گفته می شود که این کمپین عمدتاً چندین کشور اروپایی را با تمرکز خاص بر وزارتخانه های امور خارجه و همچنین سفارتخانه های سایر کشورها در اروپا به نمایش گذاشته است. نشانه هایی وجود دارد مبنی بر اینکه دیپلمات های مستقر در خاورمیانه نیز ممکن است مورد هدف قرار گرفته باشند.
بایگانی ZIP شامل سه پرونده است: یک DLL (“AppVisvsubsystems64.dll”) که به عنوان وابستگی به اجرای یک پاورپوینت قانونی قابل اجرا (“Wine.exe”) خدمت می کند ، که سپس برای بارگیری جانبی DLL برای راه اندازی DLL مخرب (“ppcore.dll”) مورد سوء استفاده قرار می گیرد. بدافزار جانبی به عنوان یک لودر (یعنی GrapeLoader) برای رها کردن بار اصلی عمل می کند.
این بدافزار با اصلاح رجیستری ویندوز پایداری می کند تا اطمینان حاصل شود که هر بار که سیستم راه اندازی مجدد می شود ، اجرایی “Wine.exe” راه اندازی می شود.
Grapeloader ، علاوه بر تکنیک های ضد تجزیه و تحلیل مانند انسداد رشته و حل API در زمان اجرا ، برای جمع آوری اطلاعات اساسی در مورد میزبان آلوده طراحی شده است و آن را به یک سرور خارجی منتقل می کند تا بتواند پوسته پوسته مرحله بعدی را بازیابی کند.
اگرچه ماهیت دقیق بار بار مشخص نیست ، اما Test Level گفت که مصنوعات به روز شده WinEloader بارگذاری شده در پلتفرم ویروسوتال را با تطبیق زمان های تطبیق مطابق با “AppVisvsubsystems64.dll” مشخص می کند.
این شرکت امنیت سایبری گفت: “با این اطلاعات و این واقعیت که Grapeloader جایگزین Rootsaw ، یک بارگیری کننده HTA است که در کمپین های گذشته برای ارائه WinEloader استفاده می شود ، ما معتقدیم که Grapeloader در نهایت منجر به استقرار WinEloader می شود.”
یافته ها به عنوان Harfanglab آمده است مفصل بدافزار VBScript Gamaredon ، که توسط بازیگر تهدید روسیه استفاده می شود تا تمام درایوهای USB متصل را با نسخه های VBScript یا PowerShell از برنامه مخرب آلوده کند. نمونه های Pterolnk بین دسامبر 2024 و فوریه 2025 از اوکراین ، هدف اصلی گروه هک شدن به ویروسوتال بارگذاری شد.
“هر دو ابزار ، هنگامی که روی یک سیستم مستقر شدند ، به طور مکرر سعی در شناسایی درایوهای USB متصل ، به منظور رها کردن پرونده های LNK و در بعضی موارد نیز یک نسخه از Pterolnk بر روی آنها”. مورد توجه در سپتامبر 2024. “با کلیک بر روی یک پرونده LNK ، بسته به نسخه خاص Pterolnk که آن را ایجاد کرده است ، یا مستقیماً مرحله بعدی را از یک سرور C2 بازیابی کنید ، یا یک نسخه Pterolnk را برای بارگیری بار اضافی اجرا کنید.”
شرکت امنیت سایبری فرانسوی پرونده های Pterolnk VBScript را به عنوان به شدت مبهم و مسئول ساخت پویا ساخت یک بارگیری کننده و یک قطره قطره LNK در حین اجرا توصیف کرد. در حالی که قرار است بارگیری کننده هر 3 دقیقه یکبار اجرا شود ، اسکریپت LNK Dropper تنظیم شده است تا هر 9 دقیقه یکبار اجرا شود.
بارگیری کننده از یک ساختار مدولار و چند مرحله ای برای دستیابی به یک سرور از راه دور و واکشی بدافزارهای اضافی استفاده می کند. از طرف دیگر ، Dropper LNK از طریق درایوهای محلی و شبکه پخش می شود و پرونده های موجود .PDF ، .DOCX و .xlsx موجود را در ریشه دایرکتوری با همتایان میانبر فریبنده و مخفی کردن پرونده های اصلی جایگزین می کند. این میانبرها ، هنگام راه اندازی ، برای اجرای Pterolnk به جای آن طراحی شده اند.
هارفانژاب گفت: “این اسکریپت ها به گونه ای طراحی شده اند که امکان انعطاف پذیری برای اپراتورهای خود را فراهم می کنند و امکان اصلاح آسان پارامترهایی مانند نام پرونده ها و مسیرها ، مکانیسم های پایداری (کلیدهای رجیستری و کارهای برنامه ریزی شده) و منطق تشخیص راه حل های امنیتی در سیستم هدف را فراهم می کنند.”
شایان ذکر است که بارگیری کننده و Dropper LNK به همان دو بار بار مراجعه می کنند که تیم شکارچی تهدید Symantec ، بخشی از Broadcom ، فاش شده در اوایل این ماه به عنوان بخشی از زنجیره حمله که نسخه به روز شده ای از دزدگیر Gammasteel را توزیع می کند –
- ntuser.dat.tmcontainer00000000000000000001.regtrans-ms (بارگیری کننده)
- ntuser.dat.tmcontainer000000000000000002.regtrans-ms (Dropper LNK)
این شرکت گفت: “Gamaredon به عنوان یک مؤلفه مهم استراتژی عملیات سایبری روسیه ، به ویژه در جنگ مداوم خود با اوکراین فعالیت می کند.” “اثربخشی Gamaredon نه در پیچیدگی فنی بلکه در سازگاری تاکتیکی است.”
“modus operandi آنها ترکیب کمپین های تهاجمی ، استقرار سریع بدافزارهای سفارشی شدید و زیرساخت های C2 را ترک می کند. این گروه با اشاره به DDR های خود به حوزه های دیرینه که با عملیات گذشته خود مرتبط است ، تأثیر عملیاتی را بر خفاش اولویت بندی می کند.”
