La campagne de phishing se fait passer pour les ambassadeurs en envoyant des invitations à des dégustations de vin.
Le groupe CyberSpionage connu sous le nom d’APT29 et lié au Service de renseignement étranger (SVR) de la Russie, a ajouté un nouveau chargeur de logiciels malveillants à son ensemble d’outils. Utilisé pour les empreintes digitales, la persistance et la livraison de la charge utile, le nouveau chargeur a été observé dans une récente campagne de phishing contre les missions diplomatiques en Europe.
« Dans cette vague actuelle d’attaques, les acteurs de la menace se font passer pour un grand ministère européen des Affaires étrangères pour envoyer des invitations aux événements de dégustation de vin, ce qui a incité les objectifs à cliquer sur un lien Web menant au déploiement d’une nouvelle porte dérobée appelée Grapeloader », des chercheurs de la société de sécurité Check Point Point ont écrit dans un rapport. «Cette campagne semble se concentrer sur le ciblage des entités diplomatiques européennes, y compris les ambassades des pays non européennes situées en Europe.»
APT29, également connu sous le nom de confortable ours et de blizzard de minuit, est l’un des groupes de cyberespionnage parrainés par l’État les plus sophistiqués. En raison de ses liens avec le SVR, ses objectifs de phishing sont souvent des missions diplomatiques, des entités gouvernementales, des partis politiques et des groupes de réflexion. Cependant, le groupe est également capable de lancer des attaques de chaîne d’approvisionnement en logiciels, étant responsables de l’attaque de 2020 contre Solarwinds qui a eu un impact sur des milliers d’entreprises, d’organisations et d’agences gouvernementales.
APT29 modifie les tactiques et la charge utile de première étape
L’un des implants malveillants connus d’APT29 est un programme de porte dérobée modulaire surnommé Wineloader qui a été déployé pour la première fois il y a un an dans une campagne qui ciblait les partis politiques allemands. Cette porte dérobée est toujours utilisée comme l’implant à un stade avancé dans cette nouvelle campagne d’attaque étudiée par Check Point.
Cependant, ce qui a changé est le code malveillant en première étape dont la fonction consiste à établir la communication avec le serveur de commande et de contrôle (C2) et de télécharger des charges utiles ultérieures. Ce composant en premier étage est communément appelé compte-gouttes ou chargeur de logiciels malveillants et, depuis 2021, APT29 avait utilisé un chargeur basé sur JavaScript doublé Rootsaw.
Dans l’attaque la plus récente, le groupe a utilisé un nouveau compte-gouttes malveillants que Check Point a nommé GRAPELOADER et qui est exécuté en exploitant une vulnérabilité DLL à chargement latéral.
Les campagnes de phishing contiennent des liens vers un fichier distant appelé Wine.zip, qui contient trois fichiers: Wine.exe, un exécutable PowerPoint vulnérable au chargement latéral DLL et deux fichiers DLL masqués appelés appVVSvSubSystems64.dll et ppcore.dll. Le premier .dll est légitime que l’exécutable PowerPoint doit exécuter, mais il a été modifié en ajoutant du code indésirable. Le deuxième .dll, ppCore.dll, qui est également chargé en mémoire par wine.exe, est le nouveau logiciel malveillant de grapeloader.
Une fois chargée latérale en mémoire, Grapeloader met en place la persistance en copiant le contenu de l’archive Wine.zip à un nouvel emplacement sur le disque et en configurant une clé de registre pour s’assurer que Wine.exe est exécuté après chaque redémarrage du système.
Le code collecte ensuite des informations sur l’ordinateur, tels que le nom d’utilisateur, le nom de l’ordinateur, les noms de processus et les envoie via HTTPS à un serveur C2. Le logiciel malveillant continuera d’interroger le serveur C2 toutes les 60 secondes pour les instructions, y compris ShellCode à télécharger et à exécuter directement en mémoire.
GRAPELOADER utilise plusieurs techniques pour échapper à la détection par des programmes de balayage de mémoire ainsi que des techniques d’anti-analyse pour rendre plus difficile l’ingénierie inverse.
Variante de Wineloader
Bien que le point de contrôle des chercheurs n’ait pas réussi à obtenir la charge utile finale livrée directement par GRAPELOADER, ils ont localisé une nouvelle variante de la porte arrière de Wineloader qui a été téléchargée sur le service de balayage virusTotal en même temps et qui a du code et du temps de compilation avec les deux similitudes AppVSvSubsystems64.dll et ppcore.dll. En tant que tel, il existe une forte possibilité qu’elle ait été utilisée dans le cadre de la même campagne.
La nouvelle variante Wineloader se présente sous la forme d’une DLL appelée vmtools.dll qui était probablement également chargée par un exécutable bénin. Alors que l’exécutable exact n’a pas été découvert, la DLL légitime avec le nom VMTools.dll fait partie du programme d’installation de VMware Tools.
Le chargement latéral DLL est une technique de plus en plus courante utilisée par les attaquants car elle permet de charger leur code de logiciel malveillant dans la mémoire RAM par des fichiers exécutables autrement légitimes qui sont peu susceptibles d’être détectés comme des logiciels malveillants lors de l’exécution. APT29 est également connu pour utiliser cette tactique dans les attaques passées.
«Les tactiques, techniques et procédures (TTP) observées dans cette campagne présentent de fortes similitudes avec celles observées lors de la précédente campagne Wineloader à partir de mars 2024», ont déclaré les chercheurs. «Dans cette attaque antérieure, l’APT29 a également lancé la campagne avec un e-mail de phishing déguisé en une invitation à un événement de dégustation de vins, ce moment-là imitant un ambassadeur indien.»
Le rapport de point de contrôle contient des indicateurs de compromis tels que les noms de fichiers, les hachages de fichiers et les URL C2 qui peuvent être utilisés par les équipes de sécurité pour créer des détections et des requêtes de chasse aux menaces.
