名为 "Midnight Blizzard" 的间谍组织发起了一场新的鱼叉式网络钓鱼活动，目标是欧洲的外交机构，包括大使馆。

"Midnight Blizzard"，又名 "APT29"，是一个与俄罗斯对外情报局（SVR）有关的国家支持的网络间谍组织。

据 Check Point Research 称，新的攻击活动引入了一种以前未见过的恶意软件加载程序 "GrapeLoader"，以及一种新的 "WineLoader" 后门。

恶意软件泛滥

这次网络钓鱼活动始于 2025 年 1 月，以一封从 bakenhof （bakenhof）发送的欺骗外交部的电子邮件开始。com ‘或’ silry '。 ] com，邀请收件人参加品酒活动。

该电子邮件包含一个恶意链接，如果满足受害者目标条件，则触发下载 ZIP 归档文件（wine.zip）。如果不是，它会将受害者重定向到合法的外交部网站。

该存档文件包含一个合法的 PowerPoint 可执行文件（wine.exe），一个程序运行所需的合法 DLL 文件，以及恶意的 GrapeLoader 有效载荷（ppcore.dll）。

恶意软件加载程序通过 DLL 侧加载执行，它收集主机信息，通过 Windows 注册表修改建立持久性，并联系命令和控制（C2）来接收它在内存中加载的 shellcode。

grapheloader 执行链

GrapeLoader 可能会取代之前使用的第一级 HTA 加载器 RootSaw，它更隐蔽、更复杂。

Check Point 强调其使用 "PAGE_NOACCESS" 内存保护和通过 "ResumeThread" 运行 shellcode 之前的 10 秒延迟，以隐藏反病毒和 EDR 扫描仪的恶意有效负载执行。

隐身的内存负载执行

GrapeLoader 在这次活动中的主要任务是秘密侦察和交付 WineLoader，它以木马化的 VMware Tools DLL 文件的形式到达。

一个后门

WineLoader 是一个模块化的后门程序，可以收集详细的主机信息并促进间谍活动。

收集的数据包括：IP 地址、运行进程名、Windows 用户名、Windows 机器名、进程 ID、特权级别。

被盗的主机数据结构

这些信息可以帮助识别沙箱环境，并评估投放后续有效载荷的目标。

在最新的 APT29 活动中发现的新变体使用 RVA 复制，导出表不匹配和垃圾指令严重混淆，使其更难进行逆向工程。

解包程序比较

Check Point 指出，与旧版本相比，新的 WineLoader 变体中的字符串混淆起着关键的反分析作用。

研究人员解释，以前像 FLOSS 这样的自动化工具可以很容易地从未包装的 WINELOADER 样本中提取和消除混淆字符串。新版本的改进实现破坏了这一过程，使自动字符串提取和去混淆失败。

由于该活动具有高度针对性，并且恶意软件完全在内存中运行，Check Point 无法检索 WineLoader 的完整第二阶段有效载荷或额外插件，因此其功能的全部范围或每个受害者的定制性质仍然模糊。

Check Point 的研究结果表明，APT29 的战术和工具集不断发展，变得更加隐蔽和先进，需要多层防御和提高警惕来发现和阻止。