Check Point Research (CPR), die Forschungsabteilung von Check Point Software Technologies hat eine signifikante Welle gezielter Phishing-Angriffe festgestellt, die im Januar 2025 begann. Diese Angriffe zielen speziell auf Regierungsbeamte und Diplomaten in ganz Europa ab und verwenden ausgefeite Techniken, Taktiken und Verfahren (TTPs), die denen einer früheren Phishing-Kampagne namens Wineloader sehr ähnlich sind. Diese wurde zuvor mit APT29, einem mit Russland verbundenen Bedrohungsakteur, in Verbindung gebracht.
Raffinierte Täuschungsmanöver mit der neuen Malware Grapeloader
Die Angriffe tragen die Handschrift der russischen APT-Gruppe APT29, die auch unter den Namen Midnight Blizzard oder Cozy Bear bekannt ist. Dieselbe Hacker-Gruppe wurde bereits für den Solarwinds-Angriff verantwortlich gemacht.
Die aktuelle Kampagne scheint eine Fortsetzung der früheren Wineloader-Operation zu sein, bei der die Angreifer das italienische Außenministerium imitierten, um gefälschte Einladungen zu diplomatischen Veranstaltungen (vorwiegend Weinproben) zu verbreiten.
Im Rahmen der aktuellen Angriffswelle wurden mehrere E-Mails von zwei verschiedenen Domains versendet. Die Betreffzeilen “Wine Event”, “Wine Testing Event” oder “Diplomatic dinner” sollten Vertrauen erwecken und zum Klick verleiten.
Jede E-Mail enthielt einen betrügerischen Link, der beim Anklicken eine Datei namens wine.zip herunterlädt – der nächste Schritt in der Angriffskette. Bemerkenswert ist die Domain des Links, die mit der Absender-Domain übereinstimmt, was die Glaubwürdigkeit erhöht.
Fortschrittliche Verschleierungstechniken
Der Server, der den schädlichen Link bereitstellt, ist offenbar gut gegen Scanning und automatisierte Analyse-Tools geschützt. Der verseuchte Download wird nur unter bestimmten Bedingungen aktiviert, etwa zu bestimmten Zeiten oder von bestimmten geografischen Standorten aus.
Zudem wurde eine neue Variante von Wineloader entdeckt, die vermutlich in einer späteren Phase des Angriffs zum Einsatz kommen wird. Der Zeitstempel der Kompilierung dieser Wineloader-Variante und ihre Ähnlichkeit mit dem neu identifizierten Grapeloader deuten darauf hin, dass sie wahrscheinlich in einer späteren Phase des Angriffs implementiert wurde.
Zielgerichtete Angriffe auf diplomatische Einrichtungen
Die aktuellen Angriffe zielen hauptsächlich auf europäische diplomatische Einrichtungen ab, vor allem Außenministerien, sowie Botschaften nicht-europäischer Länder. Einige Diplomaten im Nahen Osten sind außerdem im Visier. Beim Anklicken der Links in den E-Mails wurde entweder der Download des Backdoors Grapeloader initiiert oder die Opfer wurden auf die echte Website des europäischen Außenministeriums weitergeleitet, was eine Fassade der Legitimität schafft und in Sicherheit wiegt.
Info: Um die neueste Kampagne von APT29 im Detail zu verstehen, lässt sich der umfassende Bericht von Check Point Research hier einsehen: Renewed APT29 Phishing Campaign Against European Diplomats – Check Point Research
#CheckPoint
powered by Borlabs Cookie 