APT29 retoma phishing contra diplomatas europeus com GRAPELOADER e nova variante do WINELOADER

Hydra Corp abril 15, 2025
APT29 retoma phishing contra diplomatas europeus com GRAPELOADER e nova variante do WINELOADER

Campanha usa convites falsos para degustação de vinhos, carregamento lateral de DLL e comunicação HTTPS para preparar a entrega de payload em memória contra alvos diplomáticos.

ComponenteCampanha de phishing atribuída por TTPs ao APT29, com uso de GRAPELOADER como estágio inicial e nova variante do WINELOADER como backdoor modular.
VetorE-mails direcionados que personificam um Ministério das Relações Exteriores europeu e levam a links em bakenhof[.]com e silry[.]com, em alguns casos baixando wine.zip.
ImpactoExecução de wine.exe com carregamento lateral de ppcore.dll, persistência via chave Run do Registro do Windows, fingerprinting do host e espera por shellcode entregue pelo C2.
PrioridadeBloquear os domínios e URLs observados, caçar execução de wine.exe fora de fluxo legítimo, revisar persistência em Run e investigar comunicações HTTPS para ophibre[.]com/blog.php e bravecup[.]com/view.php.
Artefatoswine.zip, wine.exe, ppcore.dll, AppvIsvSubsystems64.dll, vmtools.dll, função PPMain, função Str_Wcscpy e tag hexadecimal e55c854d77279ed516579b91315783edd776ac0ff81ea4cc5b2b0811cf40aa63.
IoCsbakenhof[.]com, silry[.]com, https[:]//ophibre[.]com/blog.php, https[:]//bravecup[.]com/view.php e User-Agent anômalo de WINELOADER que combina Windows 7 com Microsoft Edge 119.0.2151.25.
Resumo técnico

Uma onda de phishing direcionado iniciada em janeiro de 2025 atingiu governos europeus, Ministérios das Relações Exteriores, entidades diplomáticas e embaixadas de países não europeus localizadas na Europa. A atividade reutiliza o tema de convites para degustação de vinhos, um padrão já associado a campanhas anteriores do WINELOADER, e apresenta sobreposição de técnicas, procedimentos e estrutura de código com operações atribuídas ao APT29, também conhecido como Midnight Blizzard ou Cozy Bear. O fluxo observado não é uma campanha genérica de coleta de credenciais: ele tenta levar o alvo a executar um pacote que prepara o sistema para payloads posteriores, com persistência, fingerprinting e comunicação com infraestrutura de comando e controle.

O elemento novo da cadeia é o GRAPELOADER, uma DLL de 64 bits entregue como estágio inicial. O malware é carregado por wine.exe por meio de DLL side-loading e usa a função exportada PPMain para iniciar a execução maliciosa. A função DllGetLCID contém instruções válidas, porém sem finalidade operacional direta, usadas para inflar o código e aumentar o custo de análise. Em paralelo, uma nova variante do WINELOADER apareceu próxima aos e-mails da campanha, com similaridades em cabeçalhos Rich-PE, carimbos de compilação e rotinas de criptografia de strings, sugerindo que os componentes pertencem ao mesmo encadeamento operacional ou a um conjunto compartilhado de desenvolvimento.

Fluxo técnico

A cadeia começa com mensagens que imitam uma pessoa vinculada ao Ministério das Relações Exteriores personificado. Os e-mails usam domínios como bakenhof[.]com e silry[.]com, que também hospedam os links de entrega. Quando o alvo acessa o link, o servidor pode entregar wine.zip; em outras condições, a requisição é redirecionada ao site oficial do ministério imitado. Esse comportamento indica filtragem ativa contra varredura e análise automatizada. O acionamento do download depende de condições como horário ou localização geográfica, o que reduz a probabilidade de captura por crawlers, gateways de segurança e sandboxes executadas fora do perfil esperado da vítima.

Depois que wine.exe é executado e ppcore.dll é carregado lateralmente, o GRAPELOADER copia o conteúdo do arquivo wine.zip para outro local em disco e estabelece persistência por meio da chave Run do Registro do Windows. Essa persistência é condicionada: ela não é configurada quando o diretório de trabalho atual do processo é C:\Windows\System32, o que limita certos cenários de execução por ferramentas como rundll32.exe, embora o código malicioso ainda possa rodar. Em seguida, o malware entra em um laço de comunicação com o C2, consultando o servidor a cada 60 segundos e enviando informações básicas do ambiente, incluindo nome de usuário, nome do computador, nome do processo e PID.

A comunicação do GRAPELOADER usa uma requisição HTTPS POST para https[:]//ophibre[.]com/blog.php com um User-Agent que simula Chrome em Windows 10. Os dados do ambiente são enviados com a tag hexadecimal e55c854d77279ed516579b91315783edd776ac0ff81ea4cc5b2b0811cf40aa63, interpretada no contexto como identificador de campanha ou versão. Somente após resposta do servidor o malware continua a execução. O payload esperado é shellcode não criptografado e independente de memória, executado inteiramente em memória sem gravação persistente do próximo estágio no disco. Como a campanha filtra vítimas pelo ambiente coletado, a ausência do shellcode em artefatos recuperados é compatível com entrega seletiva.

A nova variante de WINELOADER foi observada como uma DLL de 64 bits chamada vmtools.dll, com 964 funções exportadas, mas pares de exportações compartilham o mesmo RVA, reduzindo o conjunto efetivo para 482 entradas únicas. A seção .text marcada como RWX indica capacidade de código automodificável, característica comum de desempacotamento. A execução pretendida foi associada à função Str_Wcscpy, identificada por emulação e força bruta sobre as exportações. Após o desempacotamento, o módulo central usa RC4 com uma chave embutida de 256 bytes para descriptografar o código, strings e comunicação com C2, mantendo a lógica de coleta de ambiente vista em versões anteriores.

Superfície afetada

A superfície exposta concentra-se em ambientes Windows usados por entidades governamentais e diplomáticas que recebem comunicações externas de caráter institucional. O ataque depende da interação do destinatário com um link em e-mail e da execução de um arquivo obtido por download, mas o servidor de entrega tenta diferenciar vítimas reais de sistemas de inspeção. Isso aumenta a relevância de controles no endpoint, telemetria de proxy, inspeção de e-mail e monitoramento de persistência local, porque uma análise baseada apenas em acesso direto ao link pode observar somente o redirecionamento benigno para o site oficial do órgão personificado.

O uso de DLL side-loading amplia o risco em estáções onde executáveis assinados ou aparentemente legítimos são tratados com menor desconfiança. No fluxo com GRAPELOADER, wine.exe carrega ppcore.dll por imports atrasados, enquanto AppvIsvSubsystems64.dll aparece como dependência necessária para que o executável rode. No fluxo associado ao WINELOADER, o nome vmtools.dll e suas exportações sugerem preparação para execução ao lado de um binário benigno e vulnerável relacionado a instaladores do VMWare Tools, embora o módulo principal exato usado para carregar essa DLL não tenha sido identificado no material analisado.

O impacto confirmado é implantação de estágio inicial, persistência, coleta de dados do host e preparação para execução de payload em memória. O contexto não sustenta afirmar vazamento de dados, movimentação lateral ou execução bem-sucedida do estágio final em todas as vítimas. A leitura defensiva correta é tratar os artefatos como indicadores de acesso inicial e preparação pós-comprometimento, com prioridade para identificar máquinas que executaram wine.exe, registraram persistência em Run ou se comunicaram com a infraestrutura de C2 observada.

  • Alvos centrais: Ministérios das Relações Exteriores europeus, entidades diplomáticas europeias e embaixadas localizadas na Europa.
  • Alvos adicionais indicados: diplomatas baseados no Oriente Médio, em volume limitado.
  • Sistemas afetados no fluxo técnico: estáções Windows capazes de executar wine.exe e carregar DLLs de 64 bits por side-loading.
  • Componentes de maior interesse: GRAPELOADER, WINELOADER, ppcore.dll, vmtools.dll, AppvIsvSubsystems64.dll e persistência em chave Run.
Hunting e telemetria

A investigação deve correlacionar e-mail, navegação, endpoint e Registro do Windows. Em gateways de e-mail, procure mensagens com tema de degustação de vinhos, remetentes que imitam uma pessoa de um Ministério das Relações Exteriores e links para bakenhof[.]com ou silry[.]com. Como o servidor pode redirecionar acessos não selecionados para o site oficial personificado, a ausência de download em uma reprodução manual não elimina a exposição. Registros de proxy e DNS devem ser analisados por acessos aos domínios observados, especialmente quando partirem de usuários diplomáticos, áreas internacionais ou estáções com histórico de interação com mensagens externas de alto valor.

No endpoint, a caça deve priorizar execução de wine.exe em diretórios incomuns, criação ou movimentação de wine.zip, presença de ppcore.dll no mesmo diretório de execução e alterações em chaves Run próximas ao horário de abertura do e-mail. A execução de PPMain não aparece diretamente em logs comuns, mas pode ser inferida por sequência de processo, carregamento de DLL e conexões de rede subsequentes. Também é relevante procurar padrões de polling HTTPS periódico a cada 60 segundos para ophibre[.]com/blog.php, com User-Agent de Chrome em Windows 10.

Para a variante WINELOADER, os sinais incluem carregamento suspeito de vmtools.dll, seção .text com permissões RWX, exportações numerosas com duplicidade de RVA e chamada da função Str_Wcscpy como ponto de desempacotamento. Na rede, o C2 observado é https[:]//bravecup[.]com/view.php, acessado por HTTPS GET com User-Agent que se declara Windows 7 e Microsoft Edge 119.0.2151.25. Essa combinação de sistema operacional e navegador é anômala e deve ser tratada como indicador forte quando aparecer em logs de proxy, EDR, NDR ou telemetria de TLS enriquecida.

  • Acessos ou resoluções DNS para bakenhof[.]com, silry[.]com, ophibre[.]com e bravecup[.]com.
  • Download, extração ou execução de wine.zip e wine.exe em estáções de usuários diplomáticos ou áreas governamentais.
  • Persistência criada em chave Run para relançar wine.exe após reinicialização.
  • Carregamento lateral de ppcore.dll ou vmtools.dll por executáveis que não fazem parte de fluxo administrativo conhecido.
  • Requisições HTTPS para https[:]//ophibre[.]com/blog.php por POST ou para https[:]//bravecup[.]com/view.php por GET.
  • User-Agent com Windows 7 e Edge 119.0.2151.25, especialmente quando associado a bravecup[.]com.
Mitigação

A resposta deve começar pela contenção da infraestrutura observada e pela preservação de evidências nos endpoints potencialmente afetados. Bloqueie os domínios e URLs relacionados em DNS, proxy, firewall e ferramentas de segurança de e-mail. Em paralelo, pesquise mensagens recebidas desde janeiro de 2025 com tema de degustação de vinhos, remetentes personificando ministérios estrangeiros e links para os domínios citados. Para usuários que clicaram ou baixaram arquivos, isole a estáção quando houver execução de wine.exe, criação de persistência ou comunicação com C2, porque o fluxo foi desenhado para entregar payload seletivo depois do fingerprinting.

A erradicação precisa remover a persistência em Run, coletar amostras de wine.zip, wine.exe, ppcore.dll, AppvIsvSubsystems64.dll e qualquer vmtools.dll suspeita, e revisar processos filhos, conexões de rede e módulos carregados durante a janela de comprometimento. Como o próximo estágio pode ser executado apenas em memória, a análise de disco isolada pode ser insuficiente. Priorize dumps de memória quando a máquina ainda estiver ligada, registros de EDR sobre alocação de memória executável, carregamento de DLL e conexões HTTPS, além de varredura por artefatos de desempacotamento ou strings descriptografadas em memória.

A prevenção deve combinar endurecimento de execução com treinamento operacional específico para equipes diplomáticas. Regras de detecção devem considerar o encadeamento completo, não apenas hashes ou nomes de arquivo, porque os nomes e binários podem mudar. Monitore executáveis de baixa prevalência carregando DLLs no mesmo diretório, bloqueie execução a partir de caminhos temporários ou de perfil de usuário quando não houver necessidade de negócio, restrinja criação de persistência por usuários comuns e revise exceções de EDR para binários legítimos usados em side-loading. Em ambientes com alta exposição diplomática, fluxos de convite externo devem ser validados por canal alternativo antes da abertura de links ou execução de anexos baixados.

  • Bloquear bakenhof[.]com, silry[.]com, ophibre[.]com e bravecup[.]com em controles de DNS, proxy e perímetro.
  • Caçar e-mails com convites de degustação de vinhos e links para os domínios observados em caixas de entrada e quarentenas.
  • Investigar execução de wine.exe, presença de wine.zip e carregamento de ppcore.dll, AppvIsvSubsystems64.dll ou vmtools.dll.
  • Remover persistência em chave Run associada ao fluxo e validar se ela não é recriada após reinicialização.
  • Coletar memória e telemetria de EDR em sistemas que se comunicaram com os C2s, devido à execução de shellcode sem gravação do próximo estágio em disco.
  • Criar detecções para User-Agent anômalo de Windows 7 com Edge 119.0.2151.25 e para polling periódico a cada 60 segundos contra infraestrutura observada.
Tags

Postar um comentário

0 Comentários