grapeloader - RunkIntel

# GrapeLoader ## Visão Geral **GrapeLoader** é um loader de estágio inicial atribuído ao [[g0016-apt29]] (Cozy Bear / [[midnight-blizzard]]), identificado em campanhas de spear-phishing direcionadas a diplomatas e ministérios de relações exteriores europeus no início de 2025. Representa a evolução do ROOTSAW (EnvyScout), substituindo-o como mecanismo de entrega inicial antes do payload de segunda fase [[wineloader]]. O loader é notável pela temática de degustação de vinhos utilizada nos emails de phishing e pelos arquivos distribuídos (`wine.zip`, `wine.exe`, `ppcore.dll`), além de nomeclatura interna de variáveis relacionadas à vinicultura - padrão comportamental do [[g0016-apt29]] que frequentemente usa temas culturais nos artefatos de ataque. ## Características Técnicas ### Mecanismo de Entrega O GrapeLoader é distribuído via emails de spear-phishing que simulam convites para eventos de degustação de vinho em embaixadas europeias. O fluxo de infecção: 1. Email com link para download ou anexo ZIP (`wine.zip`) 2. O ZIP contém: `wine.exe` (binário legítimo) + `ppcore.dll` (DLL maliciosa) 3. Execução de `wine.exe` aciona DLL sideloading de `ppcore.dll` 4. GrapeLoader estabelece persistência e aguarda payload de segunda fase ### DLL Sideloading A técnica de **DLL sideloading** ([[t1574-002-dll-side-loading|T1574.002]]) usa um binário legítimo e assinado que, ao executar, carrega automaticamente a DLL maliciosa do mesmo diretório. O `wine.exe` não é diretamente malicioso - é a DLL `ppcore.dll` que contém o código do GrapeLoader. ### Comúnicação C2 - **Protocolo**: HTTPS com POST - **Intervalo de beacon**: a cada 60 segundos - **Estrutura da requisição**: corpo JSON com identificador da vítima e informações do host - **Resposta C2**: comandos ou payload adicional criptografado ### Capacidades - **Fingerprinting**: coleta informações do host (hostname, usuário, idioma do sistema, lista de processos) - **Persistência**: chave de registro `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` ([[t1547-001-registry-run-keys|T1547.001]]) - **Entrega de WINELOADER**: baixa e executa o backdoor modular de segunda fase - **Ofuscação de strings**: strings armazenadas em formato XOR ou RC4 para dificultar análise estática ## Diagrama de Cadeia de Infecção ```mermaid graph TB A["APT29 Midnight Blizzard"] --> B["Spear-phishing Convite Degustacao de Vinho"] B --> C["wine.zip wine.exe + ppcore.dll"] C --> D["DLL Sideloading ppcore.dll via wine.exe"] D --> E["GrapeLoader Loader Inicial"] E --> F["Persistência Registro Run Key"] E --> G["Beacon HTTPS POST a cada 60s"] G --> H["WINELOADER Backdoor Modular"] H --> I["Espionagem Diplomatica Exfiltração de Dados"] ``` ## Diagrama de Evolução APT29 ```mermaid graph TB A["APT29 Toolset Evolução de Loaders"] --> B["ROOTSAW EnvyScout 2021-2024"] A --> C["GrapeLoader Ján 2025 - Atual"] B -->|"Substituido por"| C C --> D["WINELOADER Backdoor 2a fase"] D --> E["Espionagem Diplomatica Ministerios Exteriores EU"] ``` ## Campanhas Associadas ### Campanha Diplomática Europeia (2025) A campanha [[european-diplomatic-phishing-2025]] foi identificada pelo Check Point Research em 2025, documentando ataques a: - Ministérios de Relações Exteriores da Europa - Embaixadas de países-membros da União Europeia - Funcionários diplomáticos e assessores governamentais O tema de degustação de vinhos em eventos de embaixadas é culturalmente plausível no contexto diplomático europeu, aumentando a taxa de engajamento com os emails de phishing. ### Contexto APT29 O [[g0016-apt29]] é um dos grupos de espionagem mais sofisticados do mundo, associado ao SVR russo (Serviço de Inteligência Estrangeira). Operou a campanha SolarWinds (SUNBURST), o ataque ao DNC em 2016 e campanhas contínuas de espionagem contra governos ocidentais e OTAN. ## Relevância para LATAM e Brasil Embora o GrapeLoader foque em alvos europeus, o APT29 tem interesse em: - **Missões diplomáticas**: embaixadas de países LATAM em Moscou e europeias são alvos potenciais - **Ministério das Relações Exteriores**: o Itamaraty e equivalentes LATAM são alvos de interesse de inteligência - **Organizações internacionais**: representações de países LATAM em organismos multilaterais (ONU, OEA) são vetores de risco A expansão do APT29 para alvos no [[government|setor governamental]] além da Europa é uma tendência documentada. ## Detecção e Mitigação ### Indicadores de Comprometimento **Arquivos:** - `wine.zip` baixado de domínio incomum via email - Par `wine.exe` + `ppcore.dll` no mesmo diretório de usuário - DLL com exportação de nome incomum sendo carregada por binário legítimo **Comportamentais:** - Processo legítimo (non-system) carregando DLL de `%APPDATA%` ou `%TEMP%` - Requisições HTTPS POST periódicas (intervalo ~60s) para IP/domínio não categorizado - Chave de registro `Run` criada apontando para executável em diretório de usuário **Rede:** - Beaconing HTTPS com intervalos regulares de 60 segundos - User-Agent incomum ou ausente nas requisições C2 ### Mitigações Recomendadas Implementar [[m1049-antivirus|M1049]] com detecção de DLL sideloading. Aplicar [[m1021-restrict-web-based-content|M1021]] para bloquear downloads de ZIPs de domínios não confiáveis. Usar [[m1054-software-configuration|M1054]] para monitorar criação de chaves de persistência. Treinar usuários diplomáticos em reconhecimento de spear-phishing via [[m1017-user-training|M1017]]. Monitorar via [[ds0022-file-monitoring|DS0022]] para criação de DLLs em diretórios de usuário. ## Referências - [1](https://research.checkpoint.com/2025/grapevine-operation-apt29-new-loader/) Check Point Research - GrapeLoader: APT29 New Initial Access Tool (2025) - [2](https://www.bleepingcomputer.com/news/security/apt29-uses-wine-lure-grapeloader-malware-targeting-european-diplomats/) BleepingComputer - APT29 Uses Wine Lure and GrapeLoader Against European Diplomats (2025) - [3](https://attack.mitre.org/groups/G0016/) MITRE ATT&CK - APT29 Group Profile - [4](https://malpedia.caad.fkie.fraunhofer.de/details/win.grapeloader) Malpedia - GrapeLoader Entry (2025) - [5](https://www.microsoft.com/en-us/security/blog/2025/03/midnight-blizzard-grapeloader/) Microsoft Security - Midnight Blizzard GrapeLoader Campaign (2025)