Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x
  Drucken

Russische Hacker-Gruppe APT29 „phisht“ bei europäischen Diplomaten

38 Aufrufe
Russische Hacker-Gruppe APT29 „phisht“ bei europäischen Diplomaten

Laut Check Point Research tragen die Angriffe die Handschrift der russischen APT-Gruppe APT29, die auch unter den Namen Midnight Blizzard oder Cozy Bear bekannt ist. Dieselbe Hacker-Gruppe wurde bereits für den SolarWinds-Angriff verantwortlich gemacht. Die aktuelle Kampagne scheint eine Fortsetzung der früheren Wineloader-Operation zu sein, bei der die Angreifer das italienische Außenministerium imitierten, um gefälschte Einladungen zu diplomatischen Veranstaltungen – vorwiegend Weinproben – zu verbreiten.

Im Rahmen der aktuellen Angriffswelle wurden mehrere E-Mails von zwei verschiedenen Domains versendet. Die Betreffzeilen “Wine Event”, “Wine Testing Event” oder “Diplomatic dinner” sollten Vertrauen erwecken und zum Klick verleiten. Jede E-Mail enthielt einen betrügerischen Link, der beim Anklicken eine Datei namens wine.zip herunterlädt – der nächste Schritt in der Angriffskette. Bemerkenswert ist die Domain des Links, die mit der Absender-Domain übereinstimmt, was die Glaubwürdigkeit erhöht.

Fortschrittliche Verschleierungstechniken

Der Server, der den schädlichen Link bereitstellt, ist offenbar gut gegen Scanning und automatisierte Analyse-Tools geschützt. Der verseuchte Download wird nur unter bestimmten Bedingungen aktiviert, etwa zu bestimmten Zeiten oder von bestimmten geografischen Standorten aus.

Zudem wurde eine neue Variante von Wineloader entdeckt, die vermutlich in einer späteren Phase des Angriffs zum Einsatz kommen wird. Der Zeitstempel der Kompilierung dieser Wineloader-Variante und ihre Ähnlichkeit mit dem neu identifizierten Grapeloader deuten darauf hin, dass sie wahrscheinlich in einer späteren Phase des Angriffs implementiert wurde.

Die aktuellen Angriffe zielen hauptsächlich auf europäische diplomatische Einrichtungen ab, vor allem Außenministerien, sowie Botschaften nicht-europäischer Länder. Einige Diplomaten im Nahen Osten sind außerdem im Visier. Beim Anklicken der Links in den E-Mails wurde entweder der Download des Backdoors Grapeloader initiiert oder die Opfer wurden auf die echte Website des europäischen Außenministeriums weitergeleitet, was eine Fassade der Legitimität schafft und in Sicherheit wiegt.

 

Original Autor: ZDNet-Redaktion
0
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Vollzug: Microsoft 365 wird ActiveX los
Nach Bericht: Weitere Datenlecks bei Lübecker IT-U...

Über den Autor

comadmin

comadmin

Updates abonnieren Abo von Updates dieses Autors beenden comadmin
Neueste Beiträge des Autors
Mehr Beiträge vom Autor
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Freitag, 18. April 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image
ImpressumAGBDisclaimerDatenschutzerklärung