据报道,俄罗斯国家支持的网络间谍组织Midnight Blizzard(又名’Cozy Bear’或’APT29’)发起了一项针对欧洲外交机构的鱼叉式网络钓鱼活动。Check Point Research指出,此次活动中,攻击者引入了一种名为’GrapeLoader’的新型恶意软件加载程序,以及一个新的’WineLoader’后门变种。
该钓鱼活动于2025年1月开始,攻击者通过伪造外交部的电子邮件,邀请收件人参加品酒活动。邮件中包含一个恶意链接,如果受害者满足特定条件,该链接会触发下载一个名为wine.zip的ZIP档案。该档案内包含一个合法的PowerPoint可执行文件(wine.exe)、一个合法的DLL文件和恶意的GrapeLoader负载(ppcore.dll)。
GrapeLoader主要任务是进行隐蔽侦察并传递WineLoader,其通过DLL旁加载执行,收集主机信息,修改Windows注册表以保持持久性,并与指挥控制(C2)服务器联系以接收并加载内存中的shellcode。