名为“Midnight Blizzard”的间谍组织发起了一场新的鱼叉式网络钓鱼活动，目标是欧洲的外交机构，包括大使馆。

“Midnight Blizzard”，又名“APT29”，是一个与俄罗斯对外情报局（SVR）有关的国家支持的网络间谍组织。

据Check Point Research称，新的攻击活动引入了一种以前未见过的恶意软件加载程序“GrapeLoader”，以及一种新的“WineLoader”后门。

恶意软件泛滥

这次网络钓鱼活动始于2025年1月，以一封从bakenhof （bakenhof）发送的欺骗外交部的电子邮件开始。com‘或’silry '。]com，邀请收件人参加品酒活动。

该电子邮件包含一个恶意链接，如果满足受害者目标条件，则触发下载ZIP归档文件（wine.zip）。如果不是，它会将受害者重定向到合法的外交部网站。

该存档文件包含一个合法的PowerPoint可执行文件（wine.exe），一个程序运行所需的合法DLL文件，以及恶意的GrapeLoader有效载荷（ppcore.dll）。

恶意软件加载程序通过DLL侧加载执行，它收集主机信息，通过Windows注册表修改建立持久性，并联系命令和控制（C2）来接收它在内存中加载的shellcode。

grapheloader执行链

GrapeLoader可能会取代之前使用的第一级HTA加载器RootSaw，它更隐蔽、更复杂。

Check Point强调其使用“PAGE_NOACCESS”内存保护和通过“ResumeThread”运行shellcode之前的10秒延迟，以隐藏反病毒和EDR扫描仪的恶意有效负载执行。

隐身的内存负载执行

GrapeLoader在这次活动中的主要任务是秘密侦察和交付WineLoader，它以木马化的VMware Tools DLL文件的形式到达。

一个后门

WineLoader是一个模块化的后门程序，可以收集详细的主机信息并促进间谍活动。

收集的数据包括：IP地址、运行进程名、Windows用户名、Windows机器名、进程ID、特权级别。

被盗的主机数据结构

这些信息可以帮助识别沙箱环境，并评估投放后续有效载荷的目标。

在最新的APT29活动中发现的新变体使用RVA复制，导出表不匹配和垃圾指令严重混淆，使其更难进行逆向工程。

解包程序比较

Check Point指出，与旧版本相比，新的WineLoader变体中的字符串混淆起着关键的反分析作用。

研究人员解释，以前像FLOSS这样的自动化工具可以很容易地从未包装的WINELOADER样本中提取和消除混淆字符串。新版本的改进实现破坏了这一过程，使自动字符串提取和去混淆失败。

由于该活动具有高度针对性，并且恶意软件完全在内存中运行，Check Point无法检索WineLoader的完整第二阶段有效载荷或额外插件，因此其功能的全部范围或每个受害者的定制性质仍然模糊。

Check Point的研究结果表明，APT29的战术和工具集不断发展，变得更加隐蔽和先进，需要多层防御和提高警惕来发现和阻止。

参考及来源：https://www.bleepingcomputer.com/news/security/midnight-blizzard-deploys-new-grapeloader-malware-in-embassy-phishing/