FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

新型恶意软件组合攻击欧洲外交机构

俄罗斯国家支持的黑客组织APT29（又称Cozy Bear或Midnight Blizzard）近期发起了一项针对欧洲外交实体的高级钓鱼攻击，使用了WINELOADER恶意软件的新变种和此前未公开的恶意软件加载器GRAPELOADER。

Check Point在本周发布的技术分析报告中指出："改进版的WINELOADER仍然是后期使用的模块化后门程序，而GRAPELOADER是新发现的初始阶段工具，用于指纹识别、持久化和有效载荷投递。尽管功能不同，但两者在代码结构、混淆和字符串解密方面具有相似性。GRAPELOADER改进了WINELOADER的反分析技术，同时引入了更高级的隐蔽方法。"

精心设计的钓鱼诱饵

攻击者冒充某欧洲国家外交部，向目标发送品酒会邀请邮件，诱使受害者点击链接下载包含恶意软件的ZIP压缩包（"wine.zip"）。这些邮件来自bakenhof[.]com和silry[.]com域名。

该攻击活动主要针对多个欧洲国家的外交部，以及其他国家驻欧洲的大使馆。有迹象表明，中东地区的外交官可能也成为了攻击目标。

ZIP压缩包包含三个文件：作为依赖项的DLL文件（"AppvIsvSubsystems64.dll"）、合法的PowerPoint可执行文件（"wine.exe"），以及通过DLL侧加载技术启动的恶意DLL（"ppcore.dll"）。这个恶意DLL实际上就是GRAPELOADER加载器，用于投放主要有效载荷。

恶意软件的技术细节

GRAPELOADER除了采用字符串混淆和运行时API解析等反分析技术外，还会收集受感染主机的基本信息并外传到外部服务器，以获取下一阶段的shellcode。

Check Point表示："根据GRAPELOADER取代了以往攻击中使用的HTA下载器ROOTSAW这一事实，我们相信GRAPELOADER最终会导致WINELOADER的部署。"

相关恶意软件活动

与此同时，HarfangLab详细披露了俄罗斯黑客组织Gamaredon使用的PteroLNK VBScript恶意软件。该组织通过该恶意软件感染所有连接的USB驱动器，投放VBScript或PowerShell版本的恶意程序。

ESET在2024年9月指出："这两种工具在系统上部署后，会反复尝试检测连接的USB驱动器，以便投放LNK文件，有时还会投放PteroLNK副本。点击LNK文件可能会直接从C2服务器获取下一阶段有效载荷，或执行PteroLNK副本来下载其他有效载荷。"

PteroLNK VBScript文件经过高度混淆，能够在执行期间动态构建下载器和LNK投放器。下载器设置为每3分钟执行一次，而LNK投放器脚本则每9分钟运行一次。

值得注意的是，这些工具与Broadcom旗下赛门铁克威胁猎人团队本月早些时候披露的攻击链中使用的两个有效载荷相同，该攻击链用于分发更新版的GammaSteel窃密软件。

参考来源：

APT29 Deploys GRAPELOADER Malware Targeting European Diplomats Through Wine-Tasting Lures