Logiciel malveillant GRAPELOADER
Le groupe de pirates informatiques APT29, soutenu par l'État russe et également connu sous le nom de Cozy Bear ou Midnight Blizzard, a lancé une nouvelle campagne de phishing ciblant des entités diplomatiques à travers l'Europe. Cette campagne utilise une version retravaillée de la porte dérobée WINELOADER et un chargeur de malware récemment découvert, GRAPELOADER. Les attaquants utilisent des e-mails leurres convaincants pour inciter les destinataires à exécuter une archive ZIP menaçante déguisée en invitation à une dégustation de vin.
Table des matières
Découvrez ces logiciels malveillants : GRAPELOADER et WINELOADER
Alors que WINELOADER agit comme une porte dérobée modulaire aux stades avancés de l'infection, GRAPELOADER est l'outil de choix pour la phase initiale. GRAPELOADER gère :
- Empreintes digitales du système
- Persistance via les modifications du registre Windows
- Livraison de la charge utile aux hôtes infectés
Une fois la persistance de GRAPELOADER atteinte, le malware entre dans une boucle sans fin, contactant son serveur de commande et de contrôle (C2) toutes les 60 secondes. Lors de sa communication initiale, il collecte des informations système clés telles que le nom d'utilisateur, le nom de l'ordinateur, le nom du processus et le PID du processus. Ces informations sont regroupées avec une chaîne hexadécimale de 64 caractères codée en dur, servant probablement d'identifiant de campagne ou de version, et transmises au serveur C2 via une requête HTTPS POST.
Malgré leurs rôles différents, les deux outils partagent des structures de code similaires et utilisent des techniques d'obfuscation avancées, notamment le chiffrement des chaînes et la résolution des API d'exécution. GRAPELOADER est considéré comme un successeur plus discret de ROOTSAW, un ancien téléchargeur HTA.
Tromperie tactique : des leurres de dégustation de vin à l’exécution de logiciels malveillants
Les courriels d'hameçonnage, provenant des domaines bakenhof.com et silry.com, se font passer pour un ministère européen des Affaires étrangères et invitent leurs destinataires à une fausse dégustation de vin. L'archive ZIP jointe, wine.zip, contient trois fichiers clés :
- AppvIsvSubsystems64.dll – Une dépendance utilisée pour le chargement latéral des DLL
- wine.exe – Un exécutable PowerPoint légitime exploité pour lancer un logiciel malveillant
- ppcore.dll – La DLL malveillante (GRAPELOADER) lancée via le chargement latéral
Une fois exécuté, le malware assure sa persistance en modifiant le registre pour exécuter wine.exe à chaque démarrage du système.
Un réseau plus large : au-delà des frontières de l’Europe
La campagne cible principalement les ministères des Affaires étrangères et les ambassades européens. Cependant, des éléments suggèrent que le personnel diplomatique en poste au Moyen-Orient pourrait également être dans le collimateur. Les chercheurs ont constaté que GRAPELOADER non seulement exfiltre les données système vers un serveur externe, mais ouvre également la voie à la diffusion de WINELOADER comme charge utile principale. Des versions mises à jour de WINELOADER avec des horodatages de compilation correspondants ont fait leur apparition, ce qui renforce l'identité de cette famille de logiciels malveillants.
Conclusion : Le rôle de GRAPELOADER dans l’arsenal d’APT29
En remplaçant ses anciens outils par GRAPELOADER, APT29 démontre son innovation continue en matière de cyberespionnage. Cette campagne illustre comment l'ingénierie sociale sophistiquée, associée à la conception furtive de logiciels malveillants, demeure une stratégie efficace pour infiltrer des cibles gouvernementales de grande valeur.
