Principaux renseignements
- APT29, un groupe de pirates informatiques lié à la Russie, cible les diplomates européens avec des campagnes d’hameçonnage sophistiquées.
- Les pirates se font passer pour un important ministère européen des Affaires étrangères dans des courriels invitant les destinataires à des dégustations de vin, mais en cliquant sur les liens, les victimes téléchargent des logiciels malveillants ou sont redirigées vers des sites Web légitimes.
- Check Point Research a découvert des variantes adaptées de Grapeloader et une nouvelle variante de Wineloader, ce qui suggère une tactique évolutive consistant à utiliser des entités de confiance pour déployer des logiciels malveillants avancés.
Check Point Research (CPR) a découvert une campagne d’hameçonnage sophistiquée visant des entités diplomatiques européennes. Cette opération, attribuée au groupe de pirates informatiques APT29 lié à la Russie (également connu sous le nom de Midnight Blizzard ou Cozy Bear), utilise des tactiques trompeuses qui reflètent une campagne précédente appelée Wineloader.
Wineloader avait usurpé l’identité d’un important ministère européen des affaires étrangères pour distribuer des invitations frauduleuses à des événements diplomatiques, souvent déguisées en dégustations de vin. Cette nouvelle campagne, diffusée par le biais de courriels d’hameçonnage, s’appuie sur un nouveau logiciel malveillant baptisé Grapeloader et sur une variante nouvellement identifiée de Wineloader, probablement déployée à des stades ultérieurs.
Des pirates informatiques ciblent des organisations de premier plan
APT29 est réputé pour cibler des organisations de premier plan, notamment des institutions gouvernementales et des groupes de réflexion. Les activités passées du groupe vont des campagnes d’hameçonnage ciblées aux attaques à grande échelle de la chaîne d’approvisionnement, en utilisant souvent diverses souches de logiciels malveillants. Il est notamment lié à l’attaque de la chaîne d’approvisionnement de SolarWinds.
Dans cette récente vague de cyberattaques attribuées à APT29, les acteurs de la menace se font passer pour un ministère européen des affaires étrangères bien connu en envoyant des courriels trompeurs invitant les destinataires à des dégustations de vin. En cliquant sur ces liens malveillants, les victimes téléchargent une porte dérobée appelée Grapeloader ou sont redirigées vers le site web légitime du ministère imité, créant ainsi une façade de légitimité.
Les chercheurs du CPR ont découvert des variantes de Grapeloader adaptées à des cibles spécifiques et une nouvelle variante de Wineloader. L’horodatage de cette variante de Wineloader et sa similitude avec le Grapeloader nouvellement identifié suggèrent son déploiement potentiel dans les phases ultérieures de l’attaque. Cette progression met en évidence l’évolution des tactiques des attaquants et leur capacité à exploiter des entités de confiance pour déployer des logiciels malveillants avancés contre des victimes qui ne se doutent de rien.
Si vous souhaitez accéder à tous les articles, abonnez-vous ici!