De door de Russische door de staat gesponsorde dreigingsacteur bekend als APT29 is gekoppeld aan een geavanceerde phishing-campagne die richt op diplomatieke entiteiten in heel Europa met een nieuwe variant van Wineloader en een eerder niet-gerapporteerde malware-lader gecodeerde Grapeloader.
“Hoewel de verbeterde Wineloader-variant nog steeds een modulaire achterdeur is die in latere stadia wordt gebruikt, is Grapeloader een nieuw waargenomen hulpmiddel voor het initiële stadium dat wordt gebruikt voor vingerafdrukken, persistentie en payload levering,” zei Check Point in een technische analyse die eerder deze week is gepubliceerd.
“Ondanks verschillende rollen delen beide overeenkomsten in codestructuur, obfuscatie en string-decodering. Grapeloader verfijnt de anti-analysetechnieken van Wineloader en introduceert meer geavanceerde stealth-methoden.”
Het gebruik van Wineloader werd voor het eerst gedocumenteerd door ZScaler Threatlabz in februari 2024, met de aanvallen die gebruik maken van wijnproevers om diplomatieke personeelssystemen te infecteren.
Terwijl de campagne voor het eerst werd toegeschreven aan een dreigingsactiviteitcluster genaamd SpikedWine, verbond een volgende analyse door Google-eigendom Mandiant deze met de APT29 (AKA Cozy Bear of Midnight Blizzard) hackinggroep, die is verbonden aan de Russische buitenlandse intelligentie (SVR).
De nieuwste reeks aanvallen houdt in dat e-mail wordt verzonden uitnodigt voor een niet-gespecificeerd Europees ministerie van Buitenlandse Zaken voor doelen voor wijnproeverijen, waardoor ze worden overgehaald om op een link te klikken die de implementatie van Grapeloader veroorzaakt door middel van een malware-geregen zip-archief (“Wine.zip”). De e -mails zijn verzonden vanuit de domeinen Bakenhof (.) Com en Silry (.) Com.
De campagne zou voornamelijk meerdere Europese landen hebben uitgekozen met een specifieke focus op ministeries van buitenlandse zaken, evenals de ambassades van andere landen in Europa. Er zijn aanwijzingen dat diplomaten in het Midden -Oosten ook het doelwit kunnen zijn.
Het zip-archief bevat drie bestanden: een DLL (“AppVISVSubSystems64.dll”)) die dient als een afhankelijkheid voor het uitvoeren van een legitiem PowerPoint-uitvoerbaar bestand (“Wine.exe”), die vervolgens wordt uitgebuit voor DLL-zijlaading om een kwaadaardige DLL te lanceren (“Ppcore.dll”). De sideloaded malware functioneert als een lader (dwz grapeloader) om de hoofdpayload te laten vallen.
De malware krijgt een volharding door het Windows -register te wijzigen om ervoor te zorgen dat het uitvoerbare “WINE.EXE” wordt gelanceerd telkens wanneer het systeem opnieuw wordt opgestart.
Grapeloader is, naast het opnemen van anti-analysetechnieken zoals String Obfuscation en Runtime API-oplossing, ontworpen om basisinformatie over de geïnfecteerde host te verzamelen en deze naar een externe server te exfiltreren om de shellcode op de volgende fase op te halen.
Hoewel de exacte aard van de payload onduidelijk is, zei Check Point dat het bijgewerkte Wineloader -artefacten heeft geïdentificeerd die naar het Virustotal -platform zijn geüpload met compilatietogels die overeenkomen met die van “AppVISVSubSystems64.dll.”
“Met deze informatie, en het feit dat Grapeloader Rootsaw heeft vervangen, een HTA -downloader die in eerdere campagnes werd gebruikt om Wineloader te leveren, zijn we van mening dat Grapeloader uiteindelijk leidt tot de inzet van Wineloader,” zei het Cybersecurity Company.
De bevindingen komen als Harfanglab gedetailleerde Pterolnk VBScript -malware van Gamaredon, die door de Russische dreigingsacteur wordt gebruikt om alle verbonden USB -schijven te infecteren met VBScript- of PowerShell -versies van het kwaadaardige programma. De Pterolnk -monsters werden tussen december 2024 en februari 2025 naar Virustotal geüpload vanuit Oekraïne, een primair doelwit van de hackgroep.
“Beide tools, wanneer ze op een systeem worden geïmplementeerd, proberen herhaaldelijk verbonden USB -schijven te detecteren, om LNK -bestanden te laten vallen en in sommige gevallen ook een kopie van Pterolnk daarop,” merkte ESET op in september 2024. “Klik op een LNK -bestand, afhankelijk van de specifieke PTEROLNK -versie die het direct opneemt, een direct ophalen van een PTEROLNK -copy van een PTEROLNK -copy van een PTEROLNK -copy van een PTEROLNK -copy van een PTEROLNK -copy van een PTEROLNK -copy van een PTEROLNK -copy van een PTEROLNK -copy van een PTEROLNK -copie, een exemplaar van een Pterolnk -versie.
Het Franse cybersecuritybedrijf beschreef Pterolnk VBScript -bestanden als zwaar verdoezeld en verantwoordelijk voor het dynamisch construeren van een downloader en een LNK -druppel tijdens de uitvoering. Terwijl de downloader elke 3 minuten wordt uitgevoerd, is het LNK -dropper -script geconfigureerd om elke 9 minuten te worden uitgevoerd.
De downloader maakt gebruik van een modulaire, multi-fase structuur om een externe server te bereiken en extra malware op te halen. De LNK -druppel daarentegen verspreidt zich door lokale en netwerkaandrijving, ter vervanging van de bestaande .pdf-, .docx- en .xlsx -bestanden in de root van de map met misleidende sneltoetsen en verbergt de originele bestanden. Deze snelkoppelingen worden, wanneer gelanceerd, ontworpen om in plaats daarvan Pterolnk te laten draaien.
“De scripts zijn ontworpen om flexibiliteit voor hun operators mogelijk te maken, waardoor een eenvoudige wijziging van parameters zoals bestandsnamen en paden, persistentiemechanismen (registersleutels en geplande taken) mogelijk worden gemaakt, en detectielogica voor beveiligingsoplossingen op het doelsysteem,” zei Harfanglab.
Het is vermeldenswaard dat de downloader en de LNK -dropper verwijzen naar dezelfde twee payloads die het Symantec Threat Hunter -team, onderdeel van Broadcom, eerder deze maand onthulde als onderdeel van een aanvalsketen die een bijgewerkte versie van de Gammasteel Stealer distribueert –
- Ntuser.dat.tmcontainer00000000000000000001.REGTRANS-MS (downloader)
- Ntuser.dat.tmcontainer00000000000000000002.REGTRANS-MS (LNK DROPPER)
“Gamaredon werkt als een cruciaal onderdeel van de Russische strategie van cyberactiviteiten, met name in zijn voortdurende oorlog met Oekraïne,” zei het bedrijf. “De effectiviteit van Gamaredon ligt niet in technische verfijning maar in tactisch aanpassingsvermogen.”
“Hun Modus Operandi combineert agressieve Spearphishing-campagnes, een snelle inzet van zwaar verdoezelde aangepaste malware en redundante C2-infrastructuur. De groep geeft prioriteit aan operationele impact boven stealth, geïllustreerd door hun DDR’s te wijzen op langdurige domeinen die publiekelijk zijn gekoppeld aan hun verleden.”
