详细内容或原文请订阅后点击阅览
与俄罗斯链接的APT29针对欧洲外交实体的Grapeloader恶意软件
与俄罗斯相关的集团APT29针对整个欧洲的外交实体,其新的恶意软件装载机代号为Grapeloader。 Check Point Research小组报告说,俄罗斯与俄罗斯连接的网络活动集团APT29(又名SVR集团,Cozy Bear,Nobelium,Bluebravo,Bluebravo,Midnight Blizzard和The Dukes)是针对欧洲外交实体的复杂网络钓鱼运动,使用了新的Wineloader Variant和以前不知名的Malware和Grapeloaderer。 “ […]
来源:Security Affairs _恶意软件与俄罗斯链接的APT29针对欧洲外交实体的Grapeloader恶意软件
与俄罗斯相关的集团APT29针对整个欧洲的外交实体,其新的恶意软件装载机代号为Grapeloader。
检查点研究小组报告说,俄罗斯与网络增长集团APT29(又名SVR Group,Cozy Bear,Nobelium,Bluebravo,Bluebravo,Midnight Blizzard和The Dukes)是针对欧洲外交实体的复杂的网络钓鱼活动的背后的背后,使用了New Wineloader Variant和以前的不知名的Malware,并称为GrapeLeal Warpeal of Grapeleloaderaer。
APT29 SVR组 舒适的熊 Nobelium bluebravo 午夜暴风雪 公爵 wineloader“虽然改进的WineloDADER变体仍然是一个模块化的后门,但Grapeloader是一种新观察到的初始阶段工具,用于指纹识别,持久性和有效载荷交付。尽管角色不同,但在代码结构,obfustcation,obfustcation,offusfuscation,offusfuscation和string newmention中均具有相似之处。”读取Check Point发布的报告。 “ Grapeloader在引入更高级的隐身方法的同时,可以完善Wineloader的抗分析技术。”
报告大约在上次Winelodader运动之后的一年,这位与俄罗斯的威胁演员发起了新的网络钓鱼攻击,作为欧洲外交部,邀请目标参加假品酒活动。网络钓鱼电子邮件导致通过Grapeloader进行恶意软件,或者将其重定向到该部的真实网站,以使其显得合理。
网络钓鱼运动使用了Bakenhof [。]和Silry [。] Com等领域,向欧洲外交部模仿官员的电子邮件发送电子邮件。这些电子邮件包含下载恶意文件(wine.zip)的链接。
该存档隐藏了用于DLL侧载的合法PowerPoint应用程序,一个充满垃圾的DLL和混淆的装载机Grapeloader。执行后,它通过Windows注册表保持持久性,收集主机信息,并将其发送到C2服务器,等待进一步的有效载荷。
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs (