Les chercheurs avertissent qu’un groupe de piratage notoire lié au Service de renseignement extérieur russe (SVR) cible pour la première fois les partis politiques en Allemagne, se détournant du ciblage typique des missions diplomatiques.
Les attaques de phishing sont conçues pour déployer un malware de porte dérobée nommé WineLoader, qui permet aux auteurs de menaces d’accéder à distance aux appareils et réseaux compromis.
APT29 (également connu sous le nom de Midnight Blizzard, NOBELIUM, Cozy Bear) est un groupe de piratage d’espionnage russe qui ferait partie du Service de renseignement extérieur russe (SVR)
Le groupe de piratage a été lié à de nombreuses cyberattaques, y compris la tristement célèbre attaque de la chaîne d’approvisionnement de SolarWinds en décembre 2020.
Les acteurs de la menace sont restés actifs tout au long de ces années, ciblant généralement les gouvernements, les ambassades, les hauts fonctionnaires et diverses entités en utilisant une gamme de tactiques de phishing ou de compromissions de la chaîne d’approvisionnement.
APT29 s’est récemment concentré sur les services cloud, la violation des systèmes Microsoft et le vol de données des comptes Exchange, et la compromission de l’environnement de messagerie MS Office 365 utilisé par Hewlett Packard Enterprise.
Usurper l’identité de partis politiques
Les chercheurs de Mandiant affirment qu’APT29 mène une campagne de phishing contre les partis politiques allemands depuis fin février 2024. Cela marque un changement significatif dans l’orientation opérationnelle du groupe de piratage, car c’est la première fois que le groupe de piratage cible des partis politiques.
Les pirates utilisent désormais des e-mails de phishing avec un leurre sur le thème de l’Union chrétienne-démocrate (CDU), un grand parti politique en Allemagne et actuellement le deuxième en importance au Parlement fédéral (Bundestag).
Les courriels de phishing vus par Mandiant prétendent être des invitations à dîner de la CDU qui intègrent un lien vers une page externe qui supprime une archive ZIP contenant le compte-gouttes de malware « Rootsaw ».
Une fois exécuté, le malware Rootsaw télécharge et exécute une porte dérobée nommée « WineLoader » sur l’ordinateur de la victime.
Le malware WineLoader avait déjà été découvert par Zscaler en février, qui l’avait vu déployé dans des attaques de phishing prétendant être des invitations à des diplomates pour une dégustation de vin.
La porte dérobée WineLoader présente plusieurs similitudes avec d’autres variantes de logiciels malveillants déployées lors d’attaques antérieures d’APT29, telles que « burnbatter », « myskybeat » et « beatdrop », suggérant un développeur commun.
Cependant, le logiciel malveillant est modulaire et plus personnalisé que les variantes précédentes, n’utilise pas de chargeurs standard et établit un canal de communication crypté pour l’échange de données avec le serveur de commande et de contrôle (C2).
Les analystes de Mandiant ont vu WineLoader pour la première fois fin janvier 2024 lors d’une opération ciblant les diplomates de la République tchèque, de l’Allemagne, de l’Inde, de l’Italie, de la Lettonie et du Pérou. Ainsi, la variante particulière semble avoir été le malware de choix pour APT29 ces derniers temps.
Pour échapper à la détection, WineLoader est déchiffré à l’aide de RC4 et chargé directement en mémoire via le chargement latéral de DLL, en abusant d’un exécutable Windows légitime (sqldumper.exe).
Wineloader envoie le nom d’utilisateur de la victime, le nom de l’appareil, le nom du processus et d’autres informations au C2 pour aider à profiler le système.
Le C2 peut ordonner l’exécution de modules pouvant être chargés dynamiquement pour effectuer des tâches spécifiques, telles que l’établissement de la persistance.
Bien que Mandiant ne se penche sur aucun module, il est supposé que la nature modulaire de WineLoader lui permet d’exécuter un large éventail d’activités d’espionnage conformément à la mission d’APT29.
APT29 continue de démontrer ses compétences techniques avancées et ses efforts continus pour développer des outils pour infiltrer et espionner des entités ciblées.
Le passage aux partis politiques suggère une intention d’influencer ou de surveiller les processus politiques, reflétant peut-être des objectifs géopolitiques plus larges.