Η Midnight Blizzard αναπτύσσει το νέο GrapeLoader malware
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η Midnight Blizzard αναπτύσσει το νέο GrapeLoader malware
https://www.secnews.gr/646364/midnight-blizzard-anaptisei-neo-grapeloader-malware/
Apr 16th 2025, 12:04
by Absenta Mia
Η κρατική ομάδα κατασκοπείας στον κυβερνοχώρο της Ρωσίας, γνωστή ως Midnight Blizzard, βρίσκεται πίσω από μια νέα εκστρατεία στοχευμένων επιθέσεων τύπου spear-phishing (GrapeLoader), με στόχο διπλωματικούς φορείς στην Ευρώπη, συμπεριλαμβανομένων πρεσβειών.
Δείτε επίσης: Τηλέφωνα Android έχουν προεγκατεστημένο το Mimic malware ως WhatsApp
Η Midnight Blizzard, γνωστή και ως "Cozy Bear" ή "APT29", συνδέεται με την Υπηρεσία Εξωτερικής Κατασκοπείας της Ρωσίας (SVR).
Σύμφωνα με την Check Point Research, η νέα αυτή εκστρατεία περιλαμβάνει έναν πρωτοεμφανιζόμενο φορτωτή κακόβουλου λογισμικού με την ονομασία "GrapeLoader", καθώς και μια νέα παραλλαγή του backdoor "WineLoader".
Η εκστρατεία phishing ξεκίνησε τον Ιανουάριο του 2025 και αρχίζει με ένα email που παραποιεί την ταυτότητα του Υπουργείου Εξωτερικών, αποσταλμένο από τα domains 'bakenhof[.]com' ή 'silry[.]com', προσκαλώντας τον παραλήπτη σε μια εκδήλωση γευσιγνωσίας κρασιών.
Το email περιέχει έναν κακόβουλο σύνδεσμο ο οποίος, εφόσον πληρούνται συγκεκριμένες συνθήκες στόχευσης του θύματος, ενεργοποιεί τη λήψη ενός συμπιεσμένου αρχείου ZIP (wine.zip). Αν όχι, γίνεται ανακατεύθυνση στην επίσημη ιστοσελίδα του Υπουργείου.
Το αρχείο ZIP περιλαμβάνει ένα νόμιμο εκτελέσιμο αρχείο PowerPoint (wine.exe), μια απαραίτητη για τη λειτουργία του DLL βιβλιοθήκη, καθώς και το κακόβουλο φορτίο GrapeLoader (ppcore.dll).
Δείτε ακόμα: Ψεύτικα πρόσθετα Microsoft Office ωθούν malware μέσω του SourceForge
Ο loader εκτελείται μέσω τεχνικής DLL sideloading, συλλέγοντας πληροφορίες από το σύστημα, εγκαθιστώντας μηχανισμούς παραμονής μέσω τροποποιήσεων στο Μητρώο των Windows, και επικοινωνώντας με τον διακομιστή εντολών και ελέγχου (C2) για να λάβει το shellcode που φορτώνεται απευθείας στη μνήμη. Το GrapeLoader φαίνεται να αντικαθιστά τον παλαιότερο HTA φορτωτή πρώτου σταδίου με την ονομασία 'RootSaw', προσφέροντας μεγαλύτερη διακριτικότητα και τεχνική πολυπλοκότητα.
Η Check Point επισημαίνει τη χρήση μηχανισμών προστασίας μνήμης τύπου 'PAGE_NOACCESS' και καθυστέρηση 10 δευτερολέπτων πριν την εκτέλεση του shellcode μέσω της συνάρτησης 'ResumeThread', με σκοπό την απόκρυψη της κακόβουλης δραστηριότητας από antivirus και EDR μηχανισμούς.
Οι κύριες λειτουργίες του GrapeLoader σε αυτήν την εκστρατεία είναι η διακριτική αναγνώριση του συστήματος-στόχου και η παράδοση του WineLoader, ο οποίος φτάνει μεταμφιεσμένος ως τροποποιημένο αρχείο DLL των VMware Tools.
Το WineLoader είναι ένα αρθρωτό backdoor, σχεδιασμένο για τη συλλογή λεπτομερών πληροφοριών από το σύστημα και τη διευκόλυνση κατασκοπευτικών δραστηριοτήτων. Τα δεδομένα που συλλέγει περιλαμβάνουν: διευθύνσεις IP, το όνομα της διεργασίας στην οποία εκτελείται, το όνομα χρήστη των Windows, το όνομα του υπολογιστή, το αναγνωριστικό διεργασίας (PID), καθώς και το επίπεδο προνομίων του χρήστη.
Δείτε επίσης: Εκμετάλλευση ευπάθειας ESET για κρυφή εκτέλεση malware
Η χρήση modular backdoors, όπως το WineLoader, προσφέρει στους επιτιθέμενους σημαντική ευελιξία, καθώς μπορούν να «φορτώνουν» πρόσθετα κακόβουλα modules ανάλογα με τον στόχο και τη φάση της επίθεσης. Αυτό σημαίνει πως, πέρα από την αρχική συλλογή πληροφοριών, το WineLoader μπορεί μελλοντικά να χρησιμοποιηθεί για επιμονή στο σύστημα, καταγραφή πληκτρολογήσεων, αποστολή επιπλέον malware ή ακόμα και απομακρυσμένο έλεγχο του υπολογιστή.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η Midnight Blizzard αναπτύσσει το νέο GrapeLoader malware
https://www.secnews.gr/646364/midnight-blizzard-anaptisei-neo-grapeloader-malware/
Apr 16th 2025, 12:04
by Absenta Mia
Η κρατική ομάδα κατασκοπείας στον κυβερνοχώρο της Ρωσίας, γνωστή ως Midnight Blizzard, βρίσκεται πίσω από μια νέα εκστρατεία στοχευμένων επιθέσεων τύπου spear-phishing (GrapeLoader), με στόχο διπλωματικούς φορείς στην Ευρώπη, συμπεριλαμβανομένων πρεσβειών.
Δείτε επίσης: Τηλέφωνα Android έχουν προεγκατεστημένο το Mimic malware ως WhatsApp
Η Midnight Blizzard, γνωστή και ως "Cozy Bear" ή "APT29", συνδέεται με την Υπηρεσία Εξωτερικής Κατασκοπείας της Ρωσίας (SVR).
Σύμφωνα με την Check Point Research, η νέα αυτή εκστρατεία περιλαμβάνει έναν πρωτοεμφανιζόμενο φορτωτή κακόβουλου λογισμικού με την ονομασία "GrapeLoader", καθώς και μια νέα παραλλαγή του backdoor "WineLoader".
Η εκστρατεία phishing ξεκίνησε τον Ιανουάριο του 2025 και αρχίζει με ένα email που παραποιεί την ταυτότητα του Υπουργείου Εξωτερικών, αποσταλμένο από τα domains 'bakenhof[.]com' ή 'silry[.]com', προσκαλώντας τον παραλήπτη σε μια εκδήλωση γευσιγνωσίας κρασιών.
Το email περιέχει έναν κακόβουλο σύνδεσμο ο οποίος, εφόσον πληρούνται συγκεκριμένες συνθήκες στόχευσης του θύματος, ενεργοποιεί τη λήψη ενός συμπιεσμένου αρχείου ZIP (wine.zip). Αν όχι, γίνεται ανακατεύθυνση στην επίσημη ιστοσελίδα του Υπουργείου.
Το αρχείο ZIP περιλαμβάνει ένα νόμιμο εκτελέσιμο αρχείο PowerPoint (wine.exe), μια απαραίτητη για τη λειτουργία του DLL βιβλιοθήκη, καθώς και το κακόβουλο φορτίο GrapeLoader (ppcore.dll).
Δείτε ακόμα: Ψεύτικα πρόσθετα Microsoft Office ωθούν malware μέσω του SourceForge
Ο loader εκτελείται μέσω τεχνικής DLL sideloading, συλλέγοντας πληροφορίες από το σύστημα, εγκαθιστώντας μηχανισμούς παραμονής μέσω τροποποιήσεων στο Μητρώο των Windows, και επικοινωνώντας με τον διακομιστή εντολών και ελέγχου (C2) για να λάβει το shellcode που φορτώνεται απευθείας στη μνήμη. Το GrapeLoader φαίνεται να αντικαθιστά τον παλαιότερο HTA φορτωτή πρώτου σταδίου με την ονομασία 'RootSaw', προσφέροντας μεγαλύτερη διακριτικότητα και τεχνική πολυπλοκότητα.
Η Check Point επισημαίνει τη χρήση μηχανισμών προστασίας μνήμης τύπου 'PAGE_NOACCESS' και καθυστέρηση 10 δευτερολέπτων πριν την εκτέλεση του shellcode μέσω της συνάρτησης 'ResumeThread', με σκοπό την απόκρυψη της κακόβουλης δραστηριότητας από antivirus και EDR μηχανισμούς.
Οι κύριες λειτουργίες του GrapeLoader σε αυτήν την εκστρατεία είναι η διακριτική αναγνώριση του συστήματος-στόχου και η παράδοση του WineLoader, ο οποίος φτάνει μεταμφιεσμένος ως τροποποιημένο αρχείο DLL των VMware Tools.
Το WineLoader είναι ένα αρθρωτό backdoor, σχεδιασμένο για τη συλλογή λεπτομερών πληροφοριών από το σύστημα και τη διευκόλυνση κατασκοπευτικών δραστηριοτήτων. Τα δεδομένα που συλλέγει περιλαμβάνουν: διευθύνσεις IP, το όνομα της διεργασίας στην οποία εκτελείται, το όνομα χρήστη των Windows, το όνομα του υπολογιστή, το αναγνωριστικό διεργασίας (PID), καθώς και το επίπεδο προνομίων του χρήστη.
Δείτε επίσης: Εκμετάλλευση ευπάθειας ESET για κρυφή εκτέλεση malware
Η χρήση modular backdoors, όπως το WineLoader, προσφέρει στους επιτιθέμενους σημαντική ευελιξία, καθώς μπορούν να «φορτώνουν» πρόσθετα κακόβουλα modules ανάλογα με τον στόχο και τη φάση της επίθεσης. Αυτό σημαίνει πως, πέρα από την αρχική συλλογή πληροφοριών, το WineLoader μπορεί μελλοντικά να χρησιμοποιηθεί για επιμονή στο σύστημα, καταγραφή πληκτρολογήσεων, αποστολή επιπλέον malware ή ακόμα και απομακρυσμένο έλεγχο του υπολογιστή.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια