名為“Midnight Blizzard”的間諜組織發起了一場新的魚叉式網絡釣魚活動，目標是歐洲的外交機構，包括大使館。

“Midnight Blizzard”，又名“APT29”，是一個與俄羅斯對外情報局（SVR）有關的國家支持的網絡間諜組織。

據Check Point Research稱，新的攻擊活動引入了一種以前未見過的惡意軟件加載程序“GrapeLoader”，以及一種新的“WineLoader”后門。

惡意軟件泛濫

這次網絡釣魚活動始于2025年1月，以一封從bakenhof （bakenhof）發送的欺騙外交部的電子郵件開始。com‘或’silry '。]com，邀請收件人參加品酒活動。

該電子郵件包含一個惡意鏈接，如果滿足受害者目標條件，則觸發下載ZIP歸檔文件（wine.zip）。如果不是，它會將受害者重定向到合法的外交部網站。

該存檔文件包含一個合法的PowerPoint可執行文件（wine.exe），一個程序運行所需的合法DLL文件，以及惡意的GrapeLoader有效載荷（ppcore.dll）。

惡意軟件加載程序通過DLL側加載執行，它收集主機信息，通過Windows注冊表修改建立持久性，并聯系命令和控制（C2）來接收它在內存中加載的shellcode。

grapheloader執行鏈

GrapeLoader可能會取代之前使用的第一級HTA加載器RootSaw，它更隱蔽、更復雜。

Check Point強調其使用“PAGE_NOACCESS”內存保護和通過“ResumeThread”運行shellcode之前的10秒延遲，以隱藏反病毒和EDR掃描儀的惡意有效負載執行。

隱身的內存負載執行

GrapeLoader在這次活動中的主要任務是秘密偵察和交付WineLoader，它以木馬化的VMware Tools DLL文件的形式到達。

一個后門

WineLoader是一個模塊化的后門程序，可以收集詳細的主機信息并促進間諜活動。

收集的數據包括：IP地址、運行進程名、Windows用戶名、Windows機器名、進程ID、特權級別。

被盜的主機數據結構

這些信息可以幫助識別沙箱環境，并評估投放后續有效載荷的目標。

在最新的APT29活動中發現的新變體使用RVA復制，導出表不匹配和垃圾指令嚴重混淆，使其更難進行逆向工程。

解包程序比較

Check Point指出，與舊版本相比，新的WineLoader變體中的字符串混淆起著關鍵的反分析作用。

研究人員解釋，以前像FLOSS這樣的自動化工具可以很容易地從未包裝的WINELOADER樣本中提取和消除混淆字符串。新版本的改進實現破壞了這一過程，使自動字符串提取和去混淆失敗。

由于該活動具有高度針對性，并且惡意軟件完全在內存中運行，Check Point無法檢索WineLoader的完整第二階段有效載荷或額外插件，因此其功能的全部范圍或每個受害者的定制性質仍然模糊。

Check Point的研究結果表明，APT29的戰術和工具集不斷發展，變得更加隱蔽和先進，需要多層防御和提高警惕來發現和阻止。

參考及來源：https://www.bleepingcomputer.com/news/security/midnight-blizzard-deploys-new-grapeloader-malware-in-embassy-phishing/