Midnight Blizzard（APT29）针对欧洲外交机构的鱼叉式网络钓鱼攻击分析

俄罗斯国家支持的网络间谍组织Midnight Blizzard（又称APT29或 Cozy Bear，与俄罗斯对外情报局 SVR 有关）于 2025 年 1 月发起新一轮高度针对性的鱼叉式网络钓鱼活动，主要目标为欧洲外交机构，包括多个国家的外交部和驻欧大使馆。

此次活动延续了此前以“品酒活动”为诱饵的模式，但引入了两种新型恶意软件：此前未公开的加载器GrapeLoader和升级版WineLoader后门。Check Point Research 的分析显示，攻击者战术更加隐蔽和复杂。

Russia-linked APT29 targets European diplomatic entities with GRAPELOADER malware

攻击诱饵与初始访问

攻击始于伪造的外交部电子邮件，发送域名包括bakenhof[.]com或silry[.]com。邮件主题通常为“品酒活动邀请”（wine tasting event），内容看似正式，邀请收件人参加外交场合的葡萄酒品鉴会。

• 邮件包含恶意链接。
• 若目标符合攻击者筛选条件（如特定 IP 或用户行为），链接会下载wine.zipZIP 压缩包。
• 否则，重定向至合法外交部网站，避免暴露。

这种条件触发机制大大提升了攻击的隐蔽性。

DLL Sideloading: What It Is and How to Detect It - VMRay

恶意负载与加载链：GrapeLoader 执行流程

wine.zip压缩包内包含三个文件：

• 合法的 PowerPoint 可执行文件（wine.exe）
• 程序运行所需的合法 DLL 文件
• 恶意 GrapeLoader 有效载荷（通常命名为ppcore.dll）

执行时，GrapeLoader 通过DLL 侧加载（DLL Side-Loading）技术运行：合法的 wine.exe 会加载同目录下的恶意 DLL，从而绕过部分安全检测。

GrapeLoader 的主要功能包括：

• 收集主机信息（指纹识别，用于判断是否为沙箱环境）
• 通过修改 Windows 注册表建立持久性
• 联系命令与控制服务器（C2），接收 shellcode 并在内存中加载

GrapeLoader 可能取代了此前使用的第一阶段 HTA 加载器（如 RootSaw），它更注重隐蔽性：

• 使用PAGE_NOACCESS内存保护
• 在通过ResumeThread执行 shellcode 前引入10 秒延迟，规避反病毒和 EDR 扫描

DLL 侧加载技术示意图（通用原理）：

DLL Sideloading: What It Is and How to Detect It - VMRay

第二阶段后门：WineLoader 的升级变体

GrapeLoader 的主要任务是秘密投递WineLoader后门（以木马化 VMware Tools DLL 文件形式出现，如 vmtools.dll）。

WineLoader 是一个模块化后门，具备强大的信息收集和间谍能力。它能采集以下主机数据：

• IP 地址
• 运行进程名称
• Windows 用户名与机器名
• 进程 ID
• 特权级别

这些信息帮助攻击者识别目标价值，并决定是否投放后续有效载荷。

新变体引入多项反分析技术：

• RVA 复制（导出表重复）
• 导出表不匹配
• 大量垃圾指令混淆
• 改进的字符串混淆机制（破坏 FLOSS 等自动化工具的字符串提取和去混淆过程）

与旧版本相比，新 WineLoader 的反逆向工程能力显著增强，字符串完全无法通过传统自动化工具轻松恢复。

Russia-linked APT29 targets European diplomatic entities with GRAPELOADER malware

WineLoader 收集的主机数据结构示例（简化示意）：

（由于原始报告中数据结构较为技术化，以下为概念性说明：数据通常被结构化为加密块，包含上述字段，用于 C2 通信前的指纹验证。）

攻击特点与防御建议

• 高度针对性：活动完全针对欧洲外交机构，恶意软件多在内存中运行，几乎不留磁盘痕迹。
• 演进趋势：APT29 的工具集持续升级，从 GrapeLoader 的隐蔽加载到 WineLoader 的强化反分析，体现了国家级威胁行为的成熟度。
• 情报局限：因活动针对性极强且第二阶段有效载荷完全内存驻留，研究人员未能完整获取 WineLoader 的全部插件或定制功能。

防御建议：

• 加强邮件过滤与链接扫描
• 监控异常 DLL 加载行为和注册表修改
• 部署行为-based EDR，关注内存执行和延迟执行技术
• 外交机构需提高对“社交工程 + 文化诱饵”（如品酒活动）的警惕

Check Point Research 强调，多层防御和持续威胁狩猎是应对此类高级持久威胁（APT）的关键。APT29 的活动再次提醒我们，网络间谍威胁正变得越来越“隐形”和“智能”。