Image by Monique Carrati, from Unsplash
Hacker nehmen EU-Diplomaten ins Visier mit gefälschten Einladungen zu Weinveranstaltungen
Lesezeit: 2 Min.
Zuletzt aktualisiert: Apr 17, 2025
-
![Kiara Fabbri]()
-
![Das Team für Lokalisierung und Übersetzung]()
Übersetzt von Das Team für Lokalisierung und Übersetzung Lokalisierungs- und Übersetzungsdienstleistungen
Russische Hacker, die sich als EU-Beamte ausgaben, lockten Diplomaten mit gefälschten Wein-Einladungen an und setzten im Rahmen einer sich ständig weiterentwickelnden Spionagekampagne die heimtückische Malware GRAPELOADER ein.
Eilt’s? Hier die schnellen Fakten:
- APT29 nimmt EU-Diplomaten mit als Einladungen zu Weinveranstaltungen getarnten Phishing-E-Mails ins Visier.
- GRAPELOADER verwendet heimtückischere Taktiken als vorherige Malware, einschließlich Anti-Analyse-Upgrades.
- Malware führt versteckten Code über DLL-Side-Loading in einer PowerPoint-Datei aus.
Cybersicherheitsforscher haben eine neue Welle von Phishing-Angriffen aufgedeckt, die von der russischen Hackergruppe APT29, auch bekannt als Cozy Bear, durchgeführt wurden. Die Kampagne, die von Check Point aufgedeckt wurde, nimmt europäische Diplomaten ins Visier, indem sie mit gefälschten Einladungen zu diplomatischen Weinverkostungen getäuscht werden.
Die Untersuchung ergab, dass Angreifer sich als ein europäisches Außenministerium ausgaben und Diplomaten offiziell erscheinende Einladungen per E-Mail schickten. Die E-Mails enthielten Links, die beim Anklicken zum Download von Malware führten, die in einer Datei namens wine.zip versteckt war.
Diese Datei installiert ein neues Tool namens GRAPELOADER, das es den Angreifern ermöglicht, einen Fuß in den Computer des Opfers zu setzen. GRAPELOADER sammelt Systeminformationen, etabliert eine Hintertür für weitere Befehle und sorgt dafür, dass die Malware auch nach einem Neustart auf dem Gerät bleibt.
„GRAPELOADER verfeinert die Anti-Analyse-Techniken von WINELOADER und führt dabei fortschrittlichere Stealth-Methoden ein“, bemerkten die Forscher. Die Kampagne verwendet auch eine neuere Version von WINELOADER, einer Backdoor, die aus früheren APT29-Angriffen bekannt ist und wahrscheinlich in den späteren Phasen verwendet wird.
Die Phishing-E-Mails wurden von Domains verschickt, die echte Ministeriumsbeamte imitierten. Wenn der Link in der E-Mail den Zielpersonen nicht den gewünschten Effekt einbrachte, wurden Nachfolge-E-Mails verschickt, um es erneut zu versuchen. In einigen Fällen wurden die Nutzer beim Klicken auf den Link auf die tatsächliche Website des Ministeriums umgeleitet, um Verdacht zu vermeiden.
Der Infektionsprozess nutzt eine legitime PowerPoint-Datei, um versteckten Code mittels einer Methode namens „DLL-Seitladeverfahren“ auszuführen. Der Schadstoff kopiert sich dann selbst in einen verborgenen Ordner, ändert die Systemeinstellungen, um automatisch zu starten, und verbindet sich jede Minute mit einem Remote-Server, um auf weitere Anweisungen zu warten.
Die Angreifer haben große Anstrengungen unternommen, um verborgen zu bleiben. GRAPELOADER verwendet komplexe Techniken, um seinen Code zu verschlüsseln, seine Spuren zu verwischen und der Erkennung durch Sicherheitssoftware zu entgehen. Diese Methoden erschweren es den Analysten, den Schadstoff zu zerlegen und zu studieren.
Diese Kampagne zeigt, dass APT29 seine Taktiken weiterentwickelt, indem es kreative und trügerische Strategien verwendet, um Regierungsziele in ganz Europa auszuspionieren.
Vorheriger Post
Neueste Artikel 
