APT29 olarak bilinen Rus devlet destekli tehdit oyuncusu, Avrupa’daki diplomatik varlıkları yeni bir Wineloader varyantı ve daha önce bildirilmemiş bir kötü amaçlı yükleyici Grapeloader ile hedefleyen gelişmiş bir kimlik avı kampanyasına bağlandı.
Check Point, bu hafta başlarında yayınlanan teknik analizde, “Geliştirilmiş Wineloader varyantı hala daha sonraki aşamalarda kullanılan modüler bir arka kapı olsa da, Grapeloader bu hafta başlarında yayınlanan bir teknik analizde parmak izi, kalıcılık ve yük teslimatı için kullanılan yeni gözlenen bir başlangıç aşaması aracıdır.”
“Farklı rollere rağmen, her ikisi de kod yapısı, gizleme ve dize şifrelemesinde benzerlikleri paylaşıyor. Grapeloader, daha gelişmiş gizli yöntemler getirirken Wineloader’ın anti-analiz tekniklerini geliştiriyor.”
Wineloader kullanımı ilk olarak Zscaler tehdidi tarafından Şubat 2024’te belgelendi ve saldırılar diplomatik personel sistemlerini enfekte etmek için şarap tatma yemlerinden yararlandı.
Kampanya ilk olarak Spikedwine adlı bir tehdit faaliyet kümesine atfedilirken, Google’a ait Mantiant tarafından daha sonraki bir analiz, Rusya’nın Dış İstihbarat Servisi’ne (SVR) bağlı APT29 (Cozy Bear veya Midnight Blizzard) hackleme grubuna bağladı.
En son saldırı seti, e-posta göndermeyi gerektirir, belirtilmemiş bir Avrupa Dışişleri Bakanlığı’nı şarap tadımı etkinlikleri için hedeflere taklit etmeyi ve onları kötü amaçlı bir zip arşivi (“Wine.zip”) aracılığıyla tetikleyen bir bağlantıyı tıklamaya tıklamaya çalışır. E -postalar Bakenhof alanlarından gönderildi[.]com ve si[.]com.
Kampanyanın çoğunlukla Dışişleri Bakanlıkları ve Avrupa’daki diğer ülkelerin büyükelçiliklerine odaklanan birden fazla Avrupa ülkesini seçtiği söyleniyor. Orta Doğu’da bulunan diplomatların da hedeflenebileceğine dair göstergeler vardır.
ZIP arşivi üç dosya içerir: daha sonra kötü niyetli bir DLL (“ppcore.dll”) başlatmak için DLL yan yükleme için sömürülen meşru bir PowerPoint yürütülebilir dosyasını (“Wine.exe”) çalıştırmak için bir bağımlılık görevi gören bir DLL (“AppvisvsubSystems64.dll”). Sideloaded kötü amaçlı yazılım, ana yükü bırakmak için bir yükleyici (yani grapeloader) olarak işlev görür.
Kötü amaçlı yazılım, “Wine.exe” yürütülebilir dosyasının her yeniden başlatıldığında başlatıldığından emin olmak için Windows Kayıt Defteri’ni değiştirerek kalıcılık kazanır.
Grapeloader, dize gizleme ve çalışma zamanı API çözme gibi anti-analiz tekniklerini eklemenin yanı sıra, enfekte konakçı hakkında temel bilgileri toplamak ve bir sonraki aşama kabuk kodunu almak için harici bir sunucuya eklemek için tasarlanmıştır.
Yükün kesin doğası belirsiz olmasına rağmen, Check Point, “AppvisvsubSystems64.dll” ile eşleşen derleme zaman damgaları ile Virustotal platformuna yüklenen güncellenmiş wineloader artefaktlarını belirlediğini söyledi.
Siber Güvenlik Şirketi, “Bu bilgiler ve Grapeloader’ın Wineloader’ı teslim etmek için geçmiş kampanyalarda kullanılan bir HTA indiricisi olan Rootsaw’un yerini almasıyla, Grapeloader’ın nihayetinde Wineloader’ın konuşlandırılmasına yol açtığına inanıyoruz.” Dedi.
Bulgular, Rus tehdit oyuncusu tarafından bağlı USB sürücülerini kötü niyetli programın VBScript veya PowerShell sürümleriyle enfekte etmek için kullanılan Gamaredon’un Pterolnk VBScript kötü amaçlı yazılımları olarak geliyor. Pterolnk örnekleri Aralık 2024 ile Şubat 2025 arasında Hacking Grubunun birincil hedefi olan Ukrayna’dan Virustotal’a yüklendi.
“Her iki araç da, bir sisteme dağıtıldığında, LNK dosyalarını ve bazı durumlarda Pterolnk’in bir kopyasını düşürmek için tekrar tekrar bağlı USB sürücülerini algılamaya çalışın,” ESET Eylül 2024’te bir LNK dosyası kutusuna tıklayarak, bir sonraki Pterolnk sürümüne bağlı olarak, bir sonraki Pterolnk sürümüne bağlı olarak, bir sonraki aşamayı doğrudan indirirken, bir sonraki aşamadan sonra.
Fransız siber güvenlik firması Pterolnk VBScript dosyalarını, yürütme sırasında bir indirici ve bir LNK damlası dinamik olarak inşa etmekten büyük ölçüde gizlenmiş ve sorumlu olarak tanımladı. İndiricinin her 3 dakikada bir yürütüleceği planlanırken, LNK Droper komut dosyası her 9 dakikada bir çalışacak şekilde yapılandırılır.
İndirici, uzak bir sunucuya ulaşmak ve ek kötü amaçlı yazılım almak için modüler, çok aşamalı bir yapı kullanır. Öte yandan LNK damlası, yerel ve ağ sürücüleri aracılığıyla yayılır, dizinin kökenindeki mevcut .pdf, .docx ve .xlsx dosyalarını aldatıcı kısayol muadilleriyle değiştirir ve orijinal dosyaları gizler. Bu kısayollar, piyasaya sürüldüğünde, bunun yerine Pterolnk çalıştırmak için tasarlanmıştır.
Harfanglab, “Komut dosyaları, operatörleri için esnekliğe izin vermek için tasarlanmıştır, dosya adları ve yollar, kalıcılık mekanizmaları (kayıt defteri anahtarları ve planlanan görevler) gibi parametrelerin kolayca değiştirilmesini ve hedef sistemdeki güvenlik çözümleri için algılama mantığı.” Dedi.
İndirici ve LNK damlasının, Broadcom’un bir parçası olan Symantec Tehdit Hunter ekibinin, bu ayın başlarında Gammasteel Stealer’ın güncellenmiş bir versiyonunu dağıtan bir saldırı zincirinin bir parçası olarak ortaya çıkardığı aynı iki yüke atıfta bulunduğunu belirtmek gerekir –
- Ntuser.dat.tmcontainer00000000000000000001.regtrans-ms (indirici)
- Ntuser.dat.tmcontainerer00000000000000000002.regtrans-ms (LNK damlalık)
Şirket, “Gamaredon, özellikle Ukrayna ile devam eden savaşında Rusya’nın siber operasyon stratejisinin kritik bir bileşeni olarak faaliyet gösteriyor.” Dedi. “Gamaredon’un etkinliği teknik sofistike değil, taktiksel uyarlanabilirlikte yatıyor.”
“Modus operandi, agresif mızrakçık kampanyalarını, yoğun bir şekilde gizlenmiş özel kötü amaçlı yazılımların hızlı bir şekilde konuşlandırılmasını ve gereksiz C2 altyapısını birleştiriyor. Grup, DDR’lerini geçmiş operasyonlarına halka bağlı olarak uzun süredir devam eden alanlara işaret ederek örneklenen gizli üzerinde operasyonel etkiye öncelik veriyor.”