Des pirates informatiques ciblent les diplomates de l’UE avec de fausses invitations à des événements vinicoles

Des pirates informatiques russes se faisant passer pour des fonctionnaires de l’UE ont attiré des diplomates avec de fausses invitations à une dégustation de vin, déployant un logiciel malveillant indétectable nommé GRAPELOADER dans une campagne d’espionnage en constante évolution.

Des chercheurs en cybersécurité ont découvert une nouvelle vague d’attaques de phishing menées par le groupe de hackers lié à la Russie, APT29, également connu sous le nom de Cozy Bear. La campagne, signalée par Check Point, cible des diplomates européens en les leurrant avec de fausses invitations à des événements de dégustation de vin diplomatiques.

L’enquête a révélé que les attaquants se faisaient passer pour un Ministère des Affaires Étrangères européen et envoyaient aux diplomates des invitations qui semblaient officielles. Les emails contenaient des liens qui, lorsqu’ils étaient cliqués, conduisaient au téléchargement d’un logiciel malveillant caché dans un fichier nommé wine.zip.

Ce fichier installe un nouvel outil appelé GRAPELOADER, qui permet aux attaquants de prendre pied dans l’ordinateur de la victime. GRAPELOADER collecte des informations sur le système, établit une porte dérobée pour des commandes ultérieures, et assure que le logiciel malveillant reste sur l’appareil même après un redémarrage.

« GRAPELOADER peaufine les techniques anti-analyse de WINELOADER tout en introduisant des méthodes de dissimulation plus avancées », ont noté les chercheurs. La campagne utilise également une version plus récente de WINELOADER, un backdoor connu des précédentes attaques APT29, qui est probablement utilisé dans les dernières étapes.

Les emails de phishing ont été envoyés depuis des domaines imitant de véritables officiels du ministère. Si le lien dans l’email ne réussissait pas à tromper la cible, des emails de suivi étaient envoyés pour réessayer. Dans certains cas, en cliquant sur le lien, les utilisateurs étaient redirigés vers le véritable site web du Ministère pour éviter les suspicions.

Le processus d’infection utilise un fichier PowerPoint légitime pour exécuter un code caché en utilisant une méthode appelée « DLL side-loading ». Le logiciel malveillant se copie ensuite dans un dossier caché, modifie les paramètres du système pour se lancer automatiquement et se connecte à un serveur distant toutes les minutes pour attendre de nouvelles instructions.

Les attaquants ont fait de grands efforts pour rester cachés. GRAPELOADER utilise des techniques complexes pour brouiller son code, effacer ses traces et éviter la détection par les logiciels de sécurité. Ces méthodes rendent plus difficile pour les analystes de décomposer et d’étudier le logiciel malveillant.

Cette campagne démontre que APT29 continue d’évoluer dans ses tactiques, utilisant des stratégies créatives et trompeuses pour espionner des cibles gouvernementales à travers l’Europe.