Russische hackers richten zich op Europese diplomaten

Key takeaways

APT29, een aan Rusland gelinkte hackersgroep, richt zich op Europese diplomaten met geraffineerde phishingcampagnes.
De hackers doen zich voor als een groot Europees Ministerie van Buitenlandse Zaken via e-mails waarin ontvangers worden uitgenodigd voor wijnproeverijen, maar door op de links te klikken worden malware gedownload of worden slachtoffers omgeleid naar websites die legitiem lijken.
Check Point Research ontdekte aangepaste Grapeloader-varianten en een nieuwe Wineloader-variant, wat duidt op een evoluerende tactiek om vertrouwde entiteiten te gebruiken om geavanceerde malware in te zetten.

Check Point Research (CPR) heeft een geraffineerde phishingcampagne ontdekt die gericht was op Europese diplomatieke entiteiten. Deze operatie, die wordt toegeschreven aan de aan Ru s land gelinkte hackinggroep APT29 (ook bekend als Midnight Blizzard of Cozy Bear), maakt gebruik van misleidende tactieken die een eerdere campagne genaamd Wineloader weerspiegelen.

Wineloader deed zich voor als een groot Europees ministerie van Buitenlandse Zaken om frauduleuze uitnodigingen voor diplomatieke evenementen te verspreiden, vaak vermomd als wijnproeverijen. Deze nieuwe campagne, verspreid via phishing e-mails, is gebaseerd op nieuwe malware genaamd Grapeloader en een nieuw geïdentificeerde variant van Wineloader, die waarschijnlijk in een later stadium wordt ingezet.

Hackers richten zich op high-profile organisaties

APT29 heeft een reputatie voor het aanvallen van high-profile organisaties, waaronder overheidsinstellingen en denktanks. De activiteiten van de groep variëren van gerichte phishing-campagnes tot grootschalige aanvallen op de toeleveringsketen, waarbij vaak verschillende soorten malware worden gebruikt. De groep werd met name in verband gebracht met de SolarWinds-aanval op de toeleveringsketen.

Bij deze recente golf van cyberaanvallen die wordt toegeschreven aan APT29, doen de dreigingsactoren zich voor als een bekend Europees ministerie van Buitenlandse Zaken. Ze sturen misleidende e-mails waarin de ontvangers worden uitgenodigd voor wijnproeverijen. Door op deze kwaadaardige links te klikken, downloaden slachtoffers een backdoor genaamd Grapeloader, of worden ze doorgestuurd naar de legitieme website van het nagebootste ministerie, wat een schijn van legitimiteit creëert.

CPR-onderzoekers hebben Grapeloader-varianten ontdekt die zijn afgestemd op specifieke doelwitten en een nieuwe Wineloader-variant. Het tijdstempel van deze Wineloader-variant en de gelijkenis met de nieuw geïdentificeerde Grapeloader duiden op de mogelijke inzet ervan in latere fasen van de aanval. Deze progressie benadrukt de evoluerende tactieken van aanvallers en hun vermogen om vertrouwde entiteiten te misbruiken om geavanceerde malware in te zetten tegen nietsvermoedende slachtoffers.