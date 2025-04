Signifikante Welle gezielter Phishing-Angriffe begann im Januar 2025 und zielt speziell auf Regierungsbeamte und Diplomaten in ganz Europa ab.

Laut Check Point Research tragen die Angriffe die Handschrift der russischen APT-Gruppe APT29, die auch unter den Namen Midnight Blizzard oder Cozy Bear bekannt ist. Dieselbe Hacker-Gruppe wurde bereits für den SolarWinds-Angriff verantwortlich gemacht. Die aktuelle Kampagne scheint eine Fortsetzung der früheren Wineloader-Operation zu sein, bei der die Angreifer das italienische Außenministerium imitierten, um gefälschte Einladungen zu diplomatischen Veranstaltungen – vorwiegend Weinproben – zu verbreiten.

Im Rahmen der aktuellen Angriffswelle wurden mehrere E-Mails von zwei verschiedenen Domains versendet. Die Betreffzeilen “Wine Event”, “Wine Testing Event” oder “Diplomatic dinner” sollten Vertrauen erwecken und zum Klick verleiten. Jede E-Mail enthielt einen betrügerischen Link, der beim Anklicken eine Datei namens wine.zip herunterlädt – der nächste Schritt in der Angriffskette. Bemerkenswert ist die Domain des Links, die mit der Absender-Domain übereinstimmt, was die Glaubwürdigkeit erhöht.

Fortschrittliche Verschleierungstechniken

Der Server, der den schädlichen Link bereitstellt, ist offenbar gut gegen Scanning und automatisierte Analyse-Tools geschützt. Der verseuchte Download wird nur unter bestimmten Bedingungen aktiviert, etwa zu bestimmten Zeiten oder von bestimmten geografischen Standorten aus.

Zudem wurde eine neue Variante von Wineloader entdeckt, die vermutlich in einer späteren Phase des Angriffs zum Einsatz kommen wird. Der Zeitstempel der Kompilierung dieser Wineloader-Variante und ihre Ähnlichkeit mit dem neu identifizierten Grapeloader deuten darauf hin, dass sie wahrscheinlich in einer späteren Phase des Angriffs implementiert wurde.

Die aktuellen Angriffe zielen hauptsächlich auf europäische diplomatische Einrichtungen ab, vor allem Außenministerien, sowie Botschaften nicht-europäischer Länder. Einige Diplomaten im Nahen Osten sind außerdem im Visier. Beim Anklicken der Links in den E-Mails wurde entweder der Download des Backdoors Grapeloader initiiert oder die Opfer wurden auf die echte Website des europäischen Außenministeriums weitergeleitet, was eine Fassade der Legitimität schafft und in Sicherheit wiegt.