Midnight Blizzard部署新的GrapeLoader恶意软件

admin 2025年4月21日16:49:23评论5 views字数 1437阅读4分47秒阅读模式
Midnight Blizzard部署新的GrapeLoader恶意软件

名为“Midnight Blizzard”的间谍组织发起了一场新的鱼叉式网络钓鱼活动,目标是欧洲的外交机构,包括大使馆。

“Midnight Blizzard”,又名“APT29”,是一个与俄罗斯对外情报局(SVR)有关的国家支持的网络间谍组织。

据Check Point Research称,新的攻击活动引入了一种以前未见过的恶意软件加载程序“GrapeLoader”,以及一种新的“WineLoader”后门。

Midnight Blizzard部署新的GrapeLoader恶意软件
恶意软件泛滥

这次网络钓鱼活动始于2025年1月,以一封从bakenhof (bakenhof)发送的欺骗外交部的电子邮件开始。com‘或’silry '。]com,邀请收件人参加品酒活动。

该电子邮件包含一个恶意链接,如果满足受害者目标条件,则触发下载ZIP归档文件(wine.zip)。如果不是,它会将受害者重定向到合法的外交部网站。

该存档文件包含一个合法的PowerPoint可执行文件(wine.exe),一个程序运行所需的合法DLL文件,以及恶意的GrapeLoader有效载荷(ppcore.dll)。

恶意软件加载程序通过DLL侧加载执行,它收集主机信息,通过Windows注册表修改建立持久性,并联系命令和控制(C2)来接收它在内存中加载的shellcode。

Midnight Blizzard部署新的GrapeLoader恶意软件

grapheloader执行链

GrapeLoader可能会取代之前使用的第一级HTA加载器RootSaw,它更隐蔽、更复杂。

Check Point强调其使用“PAGE_NOACCESS”内存保护和通过“ResumeThread”运行shellcode之前的10秒延迟,以隐藏反病毒和EDR扫描仪的恶意有效负载执行。

Midnight Blizzard部署新的GrapeLoader恶意软件

隐身的内存负载执行

GrapeLoader在这次活动中的主要任务是秘密侦察和交付WineLoader,它以木马化的VMware Tools DLL文件的形式到达。

Midnight Blizzard部署新的GrapeLoader恶意软件
一个后门

WineLoader是一个模块化的后门程序,可以收集详细的主机信息并促进间谍活动。

收集的数据包括:IP地址、运行进程名、Windows用户名、Windows机器名、进程ID、特权级别。

Midnight Blizzard部署新的GrapeLoader恶意软件

被盗的主机数据结构

这些信息可以帮助识别沙箱环境,并评估投放后续有效载荷的目标。

在最新的APT29活动中发现的新变体使用RVA复制,导出表不匹配和垃圾指令严重混淆,使其更难进行逆向工程。

Midnight Blizzard部署新的GrapeLoader恶意软件

解包程序比较

Check Point指出,与旧版本相比,新的WineLoader变体中的字符串混淆起着关键的反分析作用。

研究人员解释,以前像FLOSS这样的自动化工具可以很容易地从未包装的WINELOADER样本中提取和消除混淆字符串。新版本的改进实现破坏了这一过程,使自动字符串提取和去混淆失败。

由于该活动具有高度针对性,并且恶意软件完全在内存中运行,Check Point无法检索WineLoader的完整第二阶段有效载荷或额外插件,因此其功能的全部范围或每个受害者的定制性质仍然模糊。

Check Point的研究结果表明,APT29的战术和工具集不断发展,变得更加隐蔽和先进,需要多层防御和提高警惕来发现和阻止。

参考及来源:https://www.bleepingcomputer.com/news/security/midnight-blizzard-deploys-new-grapeloader-malware-in-embassy-phishing/

Midnight Blizzard部署新的GrapeLoader恶意软件
Midnight Blizzard部署新的GrapeLoader恶意软件

原文始发于微信公众号(嘶吼专业版):Midnight Blizzard部署新的GrapeLoader恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月21日16:49:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Midnight Blizzard部署新的GrapeLoader恶意软件https://cn-sec.com/archives/3982220.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息