名為“Midnight Blizzard”的間諜組織發(fā)起了一場新的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)，目標(biāo)是歐洲的外交機(jī)構(gòu)，包括大使館。

“Midnight Blizzard”，又名“APT29”，是一個(gè)與俄羅斯對外情報(bào)局（SVR）有關(guān)的國家支持的網(wǎng)絡(luò)間諜組織。

據(jù)Check Point Research稱，新的攻擊活動(dòng)引入了一種以前未見過的惡意軟件加載程序“GrapeLoader”，以及一種新的“WineLoader”后門。

惡意軟件泛濫

這次網(wǎng)絡(luò)釣魚活動(dòng)始于2025年1月，以一封從bakenhof （bakenhof）發(fā)送的欺騙外交部的電子郵件開始。com‘或’silry '。]com，邀請收件人參加品酒活動(dòng)。

該電子郵件包含一個(gè)惡意鏈接，如果滿足受害者目標(biāo)條件，則觸發(fā)下載ZIP歸檔文件（wine.zip）。如果不是，它會將受害者重定向到合法的外交部網(wǎng)站。

該存檔文件包含一個(gè)合法的PowerPoint可執(zhí)行文件（wine.exe），一個(gè)程序運(yùn)行所需的合法DLL文件，以及惡意的GrapeLoader有效載荷（ppcore.dll）。

惡意軟件加載程序通過DLL側(cè)加載執(zhí)行，它收集主機(jī)信息，通過Windows注冊表修改建立持久性，并聯(lián)系命令和控制（C2）來接收它在內(nèi)存中加載的shellcode。

grapheloader執(zhí)行鏈

GrapeLoader可能會取代之前使用的第一級HTA加載器RootSaw，它更隱蔽、更復(fù)雜。

Check Point強(qiáng)調(diào)其使用“PAGE_NOACCESS”內(nèi)存保護(hù)和通過“ResumeThread”運(yùn)行shellcode之前的10秒延遲，以隱藏反病毒和EDR掃描儀的惡意有效負(fù)載執(zhí)行。

隱身的內(nèi)存負(fù)載執(zhí)行

GrapeLoader在這次活動(dòng)中的主要任務(wù)是秘密偵察和交付WineLoader，它以木馬化的VMware Tools DLL文件的形式到達(dá)。

一個(gè)后門

WineLoader是一個(gè)模塊化的后門程序，可以收集詳細(xì)的主機(jī)信息并促進(jìn)間諜活動(dòng)。

收集的數(shù)據(jù)包括：IP地址、運(yùn)行進(jìn)程名、Windows用戶名、Windows機(jī)器名、進(jìn)程ID、特權(quán)級別。

被盜的主機(jī)數(shù)據(jù)結(jié)構(gòu)

這些信息可以幫助識別沙箱環(huán)境，并評估投放后續(xù)有效載荷的目標(biāo)。

在最新的APT29活動(dòng)中發(fā)現(xiàn)的新變體使用RVA復(fù)制，導(dǎo)出表不匹配和垃圾指令嚴(yán)重混淆，使其更難進(jìn)行逆向工程。

解包程序比較

Check Point指出，與舊版本相比，新的WineLoader變體中的字符串混淆起著關(guān)鍵的反分析作用。

研究人員解釋，以前像FLOSS這樣的自動(dòng)化工具可以很容易地從未包裝的WINELOADER樣本中提取和消除混淆字符串。新版本的改進(jìn)實(shí)現(xiàn)破壞了這一過程，使自動(dòng)字符串提取和去混淆失敗。

由于該活動(dòng)具有高度針對性，并且惡意軟件完全在內(nèi)存中運(yùn)行，Check Point無法檢索WineLoader的完整第二階段有效載荷或額外插件，因此其功能的全部范圍或每個(gè)受害者的定制性質(zhì)仍然模糊。

Check Point的研究結(jié)果表明，APT29的戰(zhàn)術(shù)和工具集不斷發(fā)展，變得更加隱蔽和先進(jìn)，需要多層防御和提高警惕來發(fā)現(xiàn)和阻止。

參考及來源：https://www.bleepingcomputer.com/news/security/midnight-blizzard-deploys-new-grapeloader-malware-in-embassy-phishing/