GRAPELOADERマルウェア

ロシア政府支援のハッキンググループAPT29（別名Cozy Bear、またはMidnight Blizzard）が、ヨーロッパ各地の外交機関を標的とした新たなフィッシング攻撃キャンペーンを開始しました。このキャンペーンでは、 WINELOADERバックドアの改良版と、新たに発見されたマルウェアローダーGRAPELOADERが使用されています。攻撃者は、ワインテイスティングイベントへの招待状を装った脅迫的なZIPアーカイブファイルを受信者に実行させるため、巧妙なメール誘導手段を用いています。

このマルウェアとは: GRAPELOADERとWINELOADER

WINELOADER は感染後期にモジュール式バックドアとして機能しますが、感染初期段階では GRAPELOADER が最適なツールです。GRAPELOADER は以下の処理を行います。

• システムフィンガープリンティング
• Windowsレジストリの変更による永続化
• 感染したホストへのペイロード配信

GRAPELOADERの永続性が確立されると、マルウェアは無限ループに入り、60秒ごとにコマンドアンドコントロール（C2）サーバーにアクセスします。最初の通信では、ユーザー名、コンピューター名、プロセス名、プロセスPIDなどの重要なシステム詳細情報を収集します。これらの情報は、ハードコードされた64文字の16進数文字列（キャンペーンまたはバージョン識別子として使用されている可能性が高い）と共にパッケージ化され、HTTPS POSTリクエストを介してC2サーバーに送信されます。

役割は異なりますが、両ツールは類似したコード構造を共有し、文字列の暗号化やランタイムAPI解決といった高度な難読化技術を採用しています。GRAPELOADERは、以前のHTAダウンローダーであるROOTSAWの、よりステルス性の高い後継ツールと考えられています。

戦術的欺瞞：ワインの試飲による誘惑からマルウェアの実行まで

bakenhof.com および silry.com というドメインから発信されたフィッシングメールは、欧州外務省を装い、偽のワイン試飲イベントへの招待を装っています。添付されたZIPアーカイブ（wine.zip）には、以下の3つの主要ファイルが含まれています。

• AppvIsvSubsystems64.dll – DLLサイドローディングに使用される依存関係
• wine.exe – マルウェアを起動するために悪用された正規のPowerPoint実行ファイル
• ppcore.dll – サイドローディングによって起動される悪意のあるDLL（GRAPELOADER）

マルウェアは実行されると、レジストリを変更してシステムの起動ごとに wine.exe を実行することで永続性を確保します。

より広いネットワーク：ヨーロッパの国境を越えて

このキャンペーンは主に欧州の外務省および大使館を標的としています。しかし、中東に駐在する外交官も標的となっている可能性を示唆する証拠があります。研究者らは、GRAPELOADERがシステムデータを外部サーバーに流出させるだけでなく、主要なペイロードとしてWINELOADERを配信するための基盤も構築していると指摘しています。コンパイルタイムスタンプが一致するWINELOADERの更新版が出現しており、このマルウェアファミリーの関連性がさらに高まっています。

結論：APT29の攻撃ツールにおけるGRAPELOADERの役割

APT29は、古いツールをGRAPELOADERに置き換えることで、サイバースパイ活動における継続的な革新を実証しています。このキャンペーンは、洗練されたソーシャルエンジニアリングとステルス性の高いマルウェア設計が、政府機関などの重要標的への侵入において依然として強力な戦略であることを如実に示しています。