Phishing-Kampagne
Neue Phishing-Kampagne zielt auf europäische Diplomaten
Check Point Research warnt vor APT29-Angriffen
Die Security-Forscher von Check Point Research (CPR), dem Forschungsteam von Check Point Software Technologies Ltd. (NASDAQ: CHKP), haben eine neue gezielte Phishing-Kampagne identifiziert, die seit Januar 2025 auf diplomatische Einrichtungen in Europa abzielt. Die Angriffe nutzen fortschrittliche Methoden und erinnern stark an frühere Aktivitäten der berüchtigten russischen Hackergruppe APT29, auch bekannt als Midnight Blizzard oder Cozy Bear.
Neue Malware „Grapeloader“ im Einsatz
Die Angriffe zeigen klare Parallelen zur früheren Wineloader-Kampagne, bei der gefälschte Einladungen zu diplomatischen Weinproben im Namen des italienischen Außenministeriums verschickt wurden. Auch bei der aktuellen Welle setzen die Angreifer auf täuschend echt wirkende E-Mails mit Betreffzeilen wie "Wine Event", "Wine Testing Event" oder "Diplomatic Dinner". Ziel ist es, das Vertrauen der Empfänger zu gewinnen und sie zum Öffnen eines infizierten ZIP-Archivs (wine.zip) zu verleiten.
Besonders auffällig ist die Verwendung glaubwürdiger Absender-Domains, die mit denen der schadhaften Links übereinstimmen – ein Trick, der die Authentizität der Nachrichten zusätzlich untermauert.
Perfekt getarnt: Gezielte Verteilung und ausgeklügelte Technik
Die Serverinfrastruktur hinter der Kampagne ist so konfiguriert, dass die schädliche Datei nur unter bestimmten Voraussetzungen – etwa zu definierten Tageszeiten oder aus bestimmten Regionen – ausgeliefert wird. Dies erschwert die Erkennung durch Sicherheitslösungen erheblich. Neben Grapeloader wurde auch eine neue Variante des bekannten Wineloader-Tools entdeckt. Analysen deuten darauf hin, dass diese Malware in späteren Phasen des Angriffs zum Einsatz kommen soll.
Fokus auf außenpolitische Ziele
Die Hauptziele der Kampagne sind diplomatische Einrichtungen in Europa, insbesondere Außenministerien und Botschaften. Auch Diplomaten außerhalb Europas – beispielsweise im Nahen Osten – stehen im Visier. In manchen Fällen wurden die Opfer statt mit Malware auf die echte Website eines europäischen Außenministeriums umgeleitet, was den Anschein von Legitimität erwecken soll.