APT29 hackerlar, Avrupa diplomatlarına karşı yeni saldırıda grapeloader kullanıyor


Check Point Research (CPR), alternatif olarak gece yarısı Blizzard veya Cozy Bear olarak bilinen kötü şöhretli Rus bağlantılı hack grubu APT29 tarafından başlatılan sofistike bir başlangıç ​​aşaması indirici olan Grapeloader’ı istihdam eden yeni bir hedefleme kampanyası ortaya çıkardı.

Ocak 2025’ten beri tanımlanan bu kampanya, öncelikle Avrupa hükümetlerine ve diplomatik kuruluşlara odaklanmaktadır.

Kampanyaya Genel Bakış

Yüksek profilli kuruluşlara karşı sofistike siber operasyonlarıyla tanınan Apt29, enfeksiyonları başlatmak için temalı kimlik avı e-postalarını kullanma yaklaşımına geri döndü.

– Reklamcılık –
Google HaberleriGoogle Haberleri

Wineloader’ı içeren son kampanyalarından yaklaşık bir yıl sonra, grup, Avrupa’daki diplomat sistemlerine ve hükümet yetkililerinin sistemlerine sızmak için çevre parmak izi, kalıcılık ve yük teslimatı oluşturmak için tasarlanmış bir araç olan Grapeloader’ı benimsedi.

Elverişli Elverişli
Grapeloader enfeksiyonlarına üst düzey genel bakış.

Kampanya, bir Avrupa ülkesinin Dışişleri Bakanlığı’ndan davetiyeler olarak maskelenen ve alıcıları özel şarap tatma etkinliklerine katılmaya ikna eden özenle hazırlanmış kimlik avı e-postalarıyla başlıyor.

Bu e -postalar alan adlarından gönderilir bakenhof[.]com Ve silry[.]com“Şarap Etkinliği”, “Şarap Test Etkinliği” ve “Büyükelçinin Takvimi için” gibi konularla.

Rapora göre, e -postalar, enfeksiyon sürecini başlatan ‘Wine.zip’ adlı bir arşivin indirilmesine yol açan bir bağlantı içeriyor.

Teknik analiz

Grapeloader:

  • Teslimat yöntemi: Grapeloader 64 bit DLL’ye gömülüdür (ppcore.dll) ‘Wine.zip’ arşivinin içinde, meşru bir PowerPoint yürütülebilir dosyasının yanı sıra (wine.exe) DLL yan yükleme ve şişirilmiş bir DLL (AppvIsvSubsystems64.dll) gerekli bir bağımlılık olarak.
  • Kalıcılık: Yürütmek için Windows Kayıt Defteri’nin çalışma anahtarını değiştirerek kalıcılığı korur wine.exe Sistem başlatma üzerine otomatik olarak dosyaları kopyalayın %APPDATA%\Local\POWERPNT\.
  • C2 İletişim: Grapeloader, C2 sunucusuyla şu adreste iletişim kurar. hxxps://ophibre[.]com/blog.php Bir HTTPS sonrası isteği kullanarak, kullanıcı adı, bilgisayar adı ve diğerleri dahil olmak üzere toplanan çevre bilgilerini gönderme. İstek, meşru bir tarayıcıyı taklit eden bir kullanıcı ajanı dizesi kullanır.
Elverişli Elverişli
Grapeloader – C2 İletişimi.
  • Shellcode Yürütme ve Kaçınma: Grapeloader, bellek tahsis ettiği, korumasını Page_noaccess olarak değiştirdiği ve daha sonra diske yazmadan Shellcode’u yürütmek için yeni bir iş parçacığı başlattığı ve böylece AV/EDR çözümleri tarafından algılamadan kaçınan bir kaçırma tekniği kullanır.

Wineloader:

Wineloader’ın yeni bir varyantı (vmtools.dll), saldırının sonraki aşamalarında kullanımını gösteren grapeloader enfeksiyonlarına yakın keşfedildi. Temel özellikler şunları içerir:

  • Paketini açma rutini: Önceki sürümlere benzer şekilde, Wineloader, çekirdek modülünü RC4 ile şifreleyen ve dize şifre çözme ve C2 iletişimi için aynı algoritmayı kullanan bir ambalaj rutini kullanır.
  • C2 İletişim: Wineloader, C2 sunucusuna sistem bilgileri içeren şifreli bir yapı gönderir. hxxps://bravecup[.]com/view.phpdaha fazla gizleme için Windows sürümü ile tarayıcı kullanıcı ajanı dizesi arasında kasıtlı bir uyumsuzluk kullanarak.
  • Gelişen Teknikler: Yeni Wineloader varyantı, String şifreleme, anti-analiz teknikleri ve kalıcılıktaki geliştirmeleri sergiliyor ve APT29’un araç setinde sürekli evrim öneriyor.

TTP’lerde, temalı kimlik avı e-postalarından DLL yan yükleme, parmak izi ve grapeloader ve wineloader arasındaki yapısal benzerliklere kadar benzerlikler, bu kampanyanın APT29’un hassas hedefleri tehlikeye atma stratejisinin başka bir parçası olduğunu güçlü bir şekilde gösteriyor.

İlk stager olarak grapeloader’a geçiş, kaçan tespit ve analiz araçlarında uyarlanabilirliklerini daha da gösterir.

Check Point’in tehdit emülasyonu ve uyum uç noktası çözümleri, açıklanan saldırı vektörlerini tanıyarak ve nötralize ederek, bu sofistike saldırılara karşı etkili bir şekilde korunarak bu tehditlere karşı kapsamlı bir koruma sağlar.

Siber güvenlik topluluğu, APT29’un operasyonlarını izlemeye devam ediyor ve kuruluşları, özellikle diplomaside olanları, bu tür gelişmiş kalıcı tehditleri azaltmaya yönelik sağlam güvenlik uygulamalarını sürdürmeye çağırıyor.

Uzlaşma Göstergeleri (IOCS):

Dosya/Etki AlanıSha256 karma
wine.zip653db3b63b0e8c2db675cd047b737cebb1c955bd9e7a93899e214d34358
wine.exe420D20CDFAADA4E96824A9184AC695800764961BAD7654A6C3FE9B1B74B9A
AppvisvsubSystems64.dllD931078b63d94726d4be5dc1a00324275b5b935b7d3eed1712461f0c180164, 24c07961f0c180164, 24c766bbbffffffffffffffff157b9d559c642e31157b9d559c642e3115157b9d559c642e3115157b9d559c642e3115157b9d559c642e3115
vmtools.dllADFE0EF4EF181C4B19437100153E9FE7AED119F504E5489A36692757460B9F8
İhtisasbükülme[.]com, si[.]com, OPT[.]com, bravecup[.]com

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link