Check Point Research (CPR), alternatif olarak gece yarısı Blizzard veya Cozy Bear olarak bilinen kötü şöhretli Rus bağlantılı hack grubu APT29 tarafından başlatılan sofistike bir başlangıç aşaması indirici olan Grapeloader’ı istihdam eden yeni bir hedefleme kampanyası ortaya çıkardı.
Ocak 2025’ten beri tanımlanan bu kampanya, öncelikle Avrupa hükümetlerine ve diplomatik kuruluşlara odaklanmaktadır.
Kampanyaya Genel Bakış
Yüksek profilli kuruluşlara karşı sofistike siber operasyonlarıyla tanınan Apt29, enfeksiyonları başlatmak için temalı kimlik avı e-postalarını kullanma yaklaşımına geri döndü.
.png
)
.png
)
Wineloader’ı içeren son kampanyalarından yaklaşık bir yıl sonra, grup, Avrupa’daki diplomat sistemlerine ve hükümet yetkililerinin sistemlerine sızmak için çevre parmak izi, kalıcılık ve yük teslimatı oluşturmak için tasarlanmış bir araç olan Grapeloader’ı benimsedi.


Kampanya, bir Avrupa ülkesinin Dışişleri Bakanlığı’ndan davetiyeler olarak maskelenen ve alıcıları özel şarap tatma etkinliklerine katılmaya ikna eden özenle hazırlanmış kimlik avı e-postalarıyla başlıyor.
Bu e -postalar alan adlarından gönderilir bakenhof[.]com
Ve silry[.]com
“Şarap Etkinliği”, “Şarap Test Etkinliği” ve “Büyükelçinin Takvimi için” gibi konularla.
Rapora göre, e -postalar, enfeksiyon sürecini başlatan ‘Wine.zip’ adlı bir arşivin indirilmesine yol açan bir bağlantı içeriyor.
Teknik analiz
Grapeloader:
- Teslimat yöntemi: Grapeloader 64 bit DLL’ye gömülüdür (
ppcore.dll
) ‘Wine.zip’ arşivinin içinde, meşru bir PowerPoint yürütülebilir dosyasının yanı sıra (wine.exe
) DLL yan yükleme ve şişirilmiş bir DLL (AppvIsvSubsystems64.dll
) gerekli bir bağımlılık olarak. - Kalıcılık: Yürütmek için Windows Kayıt Defteri’nin çalışma anahtarını değiştirerek kalıcılığı korur
wine.exe
Sistem başlatma üzerine otomatik olarak dosyaları kopyalayın%APPDATA%\Local\POWERPNT\
. - C2 İletişim: Grapeloader, C2 sunucusuyla şu adreste iletişim kurar.
hxxps://ophibre[.]com/blog.php
Bir HTTPS sonrası isteği kullanarak, kullanıcı adı, bilgisayar adı ve diğerleri dahil olmak üzere toplanan çevre bilgilerini gönderme. İstek, meşru bir tarayıcıyı taklit eden bir kullanıcı ajanı dizesi kullanır.


- Shellcode Yürütme ve Kaçınma: Grapeloader, bellek tahsis ettiği, korumasını Page_noaccess olarak değiştirdiği ve daha sonra diske yazmadan Shellcode’u yürütmek için yeni bir iş parçacığı başlattığı ve böylece AV/EDR çözümleri tarafından algılamadan kaçınan bir kaçırma tekniği kullanır.
Wineloader:
Wineloader’ın yeni bir varyantı (vmtools.dll
), saldırının sonraki aşamalarında kullanımını gösteren grapeloader enfeksiyonlarına yakın keşfedildi. Temel özellikler şunları içerir:
- Paketini açma rutini: Önceki sürümlere benzer şekilde, Wineloader, çekirdek modülünü RC4 ile şifreleyen ve dize şifre çözme ve C2 iletişimi için aynı algoritmayı kullanan bir ambalaj rutini kullanır.
- C2 İletişim: Wineloader, C2 sunucusuna sistem bilgileri içeren şifreli bir yapı gönderir.
hxxps://bravecup[.]com/view.php
daha fazla gizleme için Windows sürümü ile tarayıcı kullanıcı ajanı dizesi arasında kasıtlı bir uyumsuzluk kullanarak. - Gelişen Teknikler: Yeni Wineloader varyantı, String şifreleme, anti-analiz teknikleri ve kalıcılıktaki geliştirmeleri sergiliyor ve APT29’un araç setinde sürekli evrim öneriyor.
TTP’lerde, temalı kimlik avı e-postalarından DLL yan yükleme, parmak izi ve grapeloader ve wineloader arasındaki yapısal benzerliklere kadar benzerlikler, bu kampanyanın APT29’un hassas hedefleri tehlikeye atma stratejisinin başka bir parçası olduğunu güçlü bir şekilde gösteriyor.
İlk stager olarak grapeloader’a geçiş, kaçan tespit ve analiz araçlarında uyarlanabilirliklerini daha da gösterir.
Check Point’in tehdit emülasyonu ve uyum uç noktası çözümleri, açıklanan saldırı vektörlerini tanıyarak ve nötralize ederek, bu sofistike saldırılara karşı etkili bir şekilde korunarak bu tehditlere karşı kapsamlı bir koruma sağlar.
Siber güvenlik topluluğu, APT29’un operasyonlarını izlemeye devam ediyor ve kuruluşları, özellikle diplomaside olanları, bu tür gelişmiş kalıcı tehditleri azaltmaya yönelik sağlam güvenlik uygulamalarını sürdürmeye çağırıyor.
Uzlaşma Göstergeleri (IOCS):
Dosya/Etki Alanı | Sha256 karma |
---|---|
wine.zip | 653db3b63b0e8c2db675cd047b737cebb1c955bd9e7a93899e214d34358 |
wine.exe | 420D20CDFAADA4E96824A9184AC695800764961BAD7654A6C3FE9B1B74B9A |
AppvisvsubSystems64.dll | D931078b63d94726d4be5dc1a00324275b5b935b7d3eed1712461f0c180164, 24c07961f0c180164, 24c766bbbffffffffffffffff157b9d559c642e31157b9d559c642e3115157b9d559c642e3115157b9d559c642e3115157b9d559c642e3115 |
vmtools.dll | ADFE0EF4EF181C4B19437100153E9FE7AED119F504E5489A36692757460B9F8 |
İhtisas | bükülme[.]com, si[.]com, OPT[.]com, bravecup[.]com |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!