GRAPELOADER-Malware
Die vom russischen Staat unterstützte Hackergruppe APT29, auch bekannt als Cozy Bear oder Midnight Blizzard, hat eine neue Phishing-Kampagne gestartet, die sich gegen diplomatische Vertretungen in ganz Europa richtet. Diese Kampagne nutzt eine überarbeitete Version der WINELOADER-Backdoor und einen neu entdeckten Malware-Loader namens GRAPELOADER. Die Angreifer nutzen überzeugende E-Mail-Köder, um die Empfänger dazu zu verleiten, ein bedrohliches ZIP-Archiv auszuführen, das als Einladung zu einer Weinprobe getarnt ist.
Inhaltsverzeichnis
Lernen Sie diese Malware kennen: GRAPELOADER und WINELOADER
Während WINELOADER in den späteren Infektionsphasen als modulare Hintertür fungiert, ist GRAPELOADER das Tool der Wahl für die Anfangsphase. GRAPELOADER übernimmt:
- System-Fingerprinting
- Persistenz durch Änderungen an der Windows-Registrierung
- Payload-Übermittlung an infizierte Hosts
Sobald GRAPELOADER dauerhaft aktiv ist, gerät die Malware in eine Endlosschleife und kontaktiert alle 60 Sekunden ihren Command-and-Control-Server (C2). Während der ersten Kommunikation erfasst sie wichtige Systemdaten wie Benutzername, Computername, Prozessname und Prozess-PID. Diese Informationen werden zusammen mit einer fest codierten 64-stelligen Hexadezimalzeichenfolge – vermutlich als Kampagnen- oder Versionskennung – verpackt und per HTTPS-POST-Anfrage an den C2-Server übermittelt.
Trotz ihrer unterschiedlichen Rollen weisen beide Tools ähnliche Codestrukturen auf und nutzen fortschrittliche Verschleierungstechniken, darunter String-Verschlüsselung und Laufzeit-API-Auflösung. GRAPELOADER gilt als heimlicherer Nachfolger von ROOTSAW, einem älteren HTA-Downloader.
Taktische Täuschung: Von Weinproben-Ködern bis zur Ausführung von Malware
Die Phishing-E-Mails stammen von den Domains bakenhof.com und silry.com und geben sich als Vertreter eines europäischen Außenministeriums aus. Sie laden die Empfänger zu einer gefälschten Weinprobe ein. Das angehängte ZIP-Archiv wine.zip enthält drei Schlüsseldateien:
- AppvIsvSubsystems64.dll – Eine Abhängigkeit, die für das Sideloading von DLLs verwendet wird
- wine.exe – Eine legitime ausführbare PowerPoint-Datei, die zum Starten von Malware ausgenutzt wird
- ppcore.dll – Die bösartige DLL (GRAPELOADER) wurde durch Sideloading gestartet
Nach der Ausführung gewährleistet die Malware ihre Persistenz, indem sie die Registrierung so ändert, dass wine.exe bei jedem Systemstart ausgeführt wird.
Ein größeres Netz: Über Europas Grenzen hinaus
Die Kampagne zielt in erster Linie auf europäische Außenministerien und Botschaften ab. Es gibt jedoch Hinweise darauf, dass auch diplomatisches Personal im Nahen Osten im Visier sein könnte. Forscher stellten fest, dass GRAPELOADER nicht nur Systemdaten auf einen externen Server exfiltriert, sondern auch den Weg für die Bereitstellung von WINELOADER als primäre Nutzlast ebnet. Aktualisierte Versionen von WINELOADER mit übereinstimmenden Kompilierungszeitstempeln sind aufgetaucht, was die Malware-Familie weiter zusammenfasst.
Fazit: Die Rolle von GRAPELOADER im Arsenal von APT29
Durch den Ersatz älterer Tools durch GRAPELOADER demonstriert APT29 seine kontinuierliche Innovation im Bereich der Cyberspionage. Diese Kampagne verdeutlicht, wie ausgefeiltes Social Engineering in Verbindung mit einem unauffälligen Malware-Design nach wie vor eine wirksame Strategie zur Infiltration hochrangiger staatlicher Ziele darstellt.
