【安全资讯】Midnight Blizzard在大使馆网络钓鱼中部署新型GrapeLoader恶意软件

概要：

近期，俄罗斯国家支持的网络间谍组织Midnight Blizzard（又名“Cozy Bear”或“APT29”）发起了一场针对欧洲外交实体的大规模网络钓鱼攻击。此次攻击引入了一种新型恶意软件加载器GrapeLoader，标志着该组织在网络攻击技术上的进一步演变。

主要内容：

这场网络钓鱼活动始于2025年1月，攻击者伪装成外交部的电子邮件，邀请收件人参加品酒活动。邮件中包含恶意链接，若条件满足，将下载一个ZIP压缩包（wine.zip），其中包含合法的PowerPoint可执行文件（wine.exe）和恶意的GrapeLoader载荷（ppcore.dll）。

GrapeLoader通过DLL侧载执行，收集主机信息并通过修改Windows注册表实现持久性，同时联系指挥控制（C2）服务器以接收shellcode。与之前使用的HTA加载器RootSaw相比，GrapeLoader更加隐蔽和复杂，采用了内存保护技术和延迟执行策略，以躲避杀毒软件和EDR扫描。

在此次活动中，GrapeLoader的主要任务是进行隐蔽侦察并交付WineLoader后门，后者以特洛伊木马形式存在，收集详细的主机信息以支持间谍活动。新变种的WineLoader经过高度混淆，增加了逆向工程的难度，显示出APT29在攻击工具和策略上的不断进化。由于该活动高度针对性，Check Point未能获取WineLoader的完整二级载荷，攻击的全面能力仍不明朗。这一事件强调了对多层防御和提高警惕性的迫切需求。