Russische aanvallers vallen Europese diplomaten aan via valse eventuitnodigingen

Dit is ontdekt door onderzoekers van Check Point Research (CPR). APT29, ook bekend onder de namen Midnight Blizzard of Cozy Bear, is berucht om het aanvallen van belangrijke organisaties zoals overheidsinstellingen en denktanks. Deze groep staat ook bekend om de aanval op de toeleveringsketen van SolarWinds. Hun activiteiten variëren van gerichte phishing-aanvallen tot grote aanvallen op toeleveringsketens, waarbij ze meestal verschillende soorten schadelijke software gebruiken.

In een recente golf van cyberaanvallen, toegeschreven aan APT29, deden de hackers zich voor als een Europees ministerie van Buitenlandse Zaken. Ze stuurden misleidende e-mails waarin mensen werden uitgenodigd voor wijnproeverijen. Deze nieuwe phishing-aanval, die ongeveer een jaar na de vorige Wineloader-campagne opdook, richt zich voornamelijk op Europese diplomatieke instellingen, inclusief ambassades van niet-Europese landen.

Grapeloader

De e-mails bevatten schadelijke links die de download van een backdoor, genaamd Grapeloader, in gang zetten of slachtoffers doorgestuurd worden naar de echte website van het nagebootste Europese ministerie van Buitenlandse Zaken, wat de geloofwaardigheid van de e-mails vergroot.

Onderzoekers van CPR ontdekten verschillende varianten van Grapeloader die naar specifieke doelwitten werden gestuurd, evenals een nieuwe variant van Wineloader. De timing en technische overeenkomsten tussen beide soorten schadelijke software wijzen op een gecoördineerde en geleidelijke aanvalstactiek. De ontwikkeling van hun aanvalsmethoden laat het aanpassingsvermogen van de groep zien en benadrukt de noodzaak voor verhoogde waakzaamheid bij diplomatieke instellingen.

Een gedetailleerde analyse van de nieuwste aanval van APT29 is hier beschikbaar.