Photo credit: www.csoonline.com
Von Wein zu Trauben: Eine neue Variante des Wineloaders, bekannt als Grapeloader, wurde entdeckt.
Die russische Hackergruppe APT29, auch unter dem Namen Cozy Bear bekannt und dem Auslandsgeheimdienst SVR zugeordnet, hat ihre Aktivitäten ausgeweitet und richtet sich mit einer neuen Phishing-Kampagne gegen diplomatische Institutionen in ganz Europa. Bei dieser Kampagne kommt die Malware Grapeloader zum Einsatz, die hauptsächlich dazu dient:
- Das System zu analysieren,
- Eine dauerhafte Infektion aufrechtzuerhalten und
- Weitere schädliche Software nachzuladen.
Die Angriffe erfolgen über gefälschte Einladungen zu Weinverkostungen, wie das Cybersicherheitsunternehmen Check Point berichtet. APT29 gehört zu den am technisch versiertesten staatlich unterstützten Hackergruppen und war unter anderem in den SolarWinds-Hack von 2020 verwickelt. In Deutschland sorgte die Gruppe 2024 für Aufsehen, als sie Politiker der CDU unter dem Vorwand eines fingierten Abendessens kontaktierte.
Spionage durch manipulierte PowerPoint-Dateien
In ihrer neuesten Kampagne verwendet die Gruppe weiterhin die Backdoor Wineloader, hat jedoch den vorherigen JavaScript-Loader namens Rootsaw durch den neuen Malware-Dropper Grapeloader ersetzt. Dieser wird über eine DLL-Side-Loading-Schwachstelle aktiviert.
Source
www.csoonline.com