Aktor ancaman yang disponsori negara Rusia yang dikenal sebagai APT29 telah dikaitkan dengan kampanye phishing canggih yang menargetkan entitas diplomatik di seluruh Eropa dengan varian baru Wineloader dan pemuat malware yang sebelumnya tidak dilaporkan dengan kode grapeloader.
“Sementara varian Wineloader yang ditingkatkan masih merupakan pintu belakang modular yang digunakan pada tahap selanjutnya, Grapeloader adalah alat tahap awal yang baru diamati yang digunakan untuk sidik jari, kegigihan, dan pengiriman muatan,” kata Check Point dalam analisis teknis yang diterbitkan awal pekan ini.
“Meskipun peran yang berbeda, keduanya memiliki kesamaan dalam struktur kode, pengayaan, dan dekripsi string. Grapeloader menyempurnakan teknik anti-analisis Wineloader sambil memperkenalkan metode siluman yang lebih maju.”
Penggunaan WinEloader pertama kali didokumentasikan oleh Zscaler Ancromlabz pada Februari 2024, dengan serangan itu memanfaatkan umpan mencicipi anggur untuk menginfeksi sistem staf diplomatik.
Sementara kampanye ini pertama kali dikaitkan dengan gugus kegiatan ancaman bernama Spikedwine, analisis selanjutnya oleh Mandiant milik Google menghubungkannya dengan grup peretasan APT29 (alias Cozy Bear atau Midnight Blizzard), yang berafiliasi dengan Layanan Intelijen Asing Rusia (SVR).
Serangkaian serangan terbaru mensyaratkan pengiriman email yang mengundang menyamar sebagai Kementerian Luar Negeri Eropa yang tidak ditentukan ke target untuk acara mencicipi anggur, membujuk mereka untuk mengklik tautan yang memicu penyebaran Grapeloader dengan menggunakan arsip ritsleting malware (“Wine.zip”). Email dikirim dari domain Bakenhof[.]com dan silry[.]com.
Kampanye ini dikatakan sebagian besar memilih beberapa negara Eropa dengan fokus khusus pada kementerian luar negeri, serta kedutaan negara lain di Eropa. Ada indikasi bahwa diplomat yang berbasis di Timur Tengah mungkin juga ditargetkan.
Arsip ZIP berisi tiga file: DLL (“AppVisVsubsystems64.dll”) yang berfungsi sebagai ketergantungan untuk menjalankan PowerPoint yang sah (“Wine.exe”), yang kemudian dieksploitasi untuk memuat sisi DLL untuk meluncurkan DLL jahat (“ppcore.dll”). Malware muatan sideload berfungsi sebagai loader (yaitu, grapeloader) untuk menjatuhkan muatan utama.
Malware memperoleh kegigihan dengan memodifikasi Registri Windows untuk memastikan bahwa Executable “Wine.exe” diluncurkan setiap kali sistem di -boot ulang.
Grapeloader, selain menggabungkan teknik anti-analisis seperti kebingungan string dan penyelesaian API runtime, dirancang untuk mengumpulkan informasi dasar tentang host yang terinfeksi dan mengeksfiltrasi ke server eksternal untuk mengambil kode kerang tahap berikutnya.
Meskipun sifat pasti dari muatan tidak jelas, Check Point mengatakan itu mengidentifikasi artefak Wineloader yang diperbarui yang diunggah ke platform VirusTotal dengan cap waktu kompilasi yang cocok dengan “appvisvsubsystems64.dll.”
“Dengan informasi ini, dan fakta bahwa Grapeloader menggantikan Rootsaw, seorang pengunduh HTA yang digunakan dalam kampanye masa lalu untuk memberikan Wineloader, kami percaya bahwa Grapeloader akhirnya mengarah pada penyebaran WinEloader,” kata perusahaan cybersecurity.
Temuan ini datang ketika Harfanglab merinci malware Pterolnk VBScript GameDon, yang digunakan oleh aktor ancaman Rusia untuk menginfeksi semua drive USB yang terhubung dengan VBScript atau versi PowerShell dari program jahat. Sampel Pterolnk diunggah ke Virustotal antara Desember 2024 dan Februari 2025 dari Ukraina, target utama kelompok peretasan.
“Kedua alat, ketika digunakan pada suatu sistem, berulang kali mencoba mendeteksi drive USB yang terhubung, untuk menjatuhkan file LNK dan dalam beberapa kasus juga salinan pterolnk ke mereka,” kata Eset pada bulan September 2024. “Klik TOUBLE LNK, LNK dapat, tergantung pada Pterolnk Versi yang dibuat, baik secara langsung.
Perusahaan cybersecurity Prancis menggambarkan file Pterolnk VBScript yang sangat dikaburkan dan bertanggung jawab untuk secara dinamis membangun pengunduh dan penetes LNK selama eksekusi. Sementara pengunduh dijadwalkan untuk dieksekusi setiap 3 menit, skrip penetes LNK dikonfigurasi untuk berjalan setiap 9 menit.
Pengunduh menggunakan struktur modular multi-tahap untuk menjangkau server jarak jauh dan mengambil malware tambahan. Penetes LNK, di sisi lain, merambat melalui drive lokal dan jaringan, menggantikan file .pdf, .docx, dan .xlsx yang ada di root direktori dengan rekan pintas yang menipu dan menyembunyikan file asli. Pintasan ini, ketika diluncurkan, direkayasa untuk menjalankan Pterolnk sebagai gantinya.
“Skrip dirancang untuk memungkinkan fleksibilitas bagi operator mereka, memungkinkan modifikasi parameter yang mudah seperti nama file dan jalur, mekanisme kegigihan (kunci registri dan tugas yang dijadwalkan), dan logika deteksi untuk solusi keamanan pada sistem target,” kata HarfangLab.
Perlu dicatat bahwa pengunduh dan penetes LNK merujuk pada dua muatan yang sama dengan tim Hunter Ancaman Symantec, bagian dari Broadcom, mengungkapkan awal bulan ini sebagai bagian dari rantai serangan yang mendistribusikan versi terbaru dari Gammasteel Stealer –
- Ntuser.dat.tmcontainer000000000000000001.regtrans-ms (download)
- Ntuser.dat.tmcontainer000000000000000002.regtrans-ms (penetes LNK)
“GameDon beroperasi sebagai komponen penting dari strategi operasi cyber Rusia, terutama dalam perang berkelanjutan dengan Ukraina,” kata perusahaan itu. “Efektivitas Gamaredon tidak terletak pada kecanggihan teknis tetapi dalam kemampuan beradaptasi taktis.”
“Modus Operandi mereka menggabungkan kampanye spearphishing yang agresif, penyebaran cepat malware adat yang sangat dikaburkan, dan infrastruktur C2 yang berlebihan. Kelompok ini memprioritaskan dampak operasional daripada siluman, dicontohkan dengan mengarahkan DDR mereka ke domain lama yang terkait dengan publik dengan operasi masa lalu.”
