Von Wein zu Trauben: Neue Wineloader-Variante Grapeloader entdeckt.
Red Kalf Creatives – shutterstock
Die russische Hackergruppe APT29, die auch als Cozy Bear bekannt ist und dem Auslandsgeheimdienst SVR zugeordnet wird, nimmt mit einer neuen Phishing-Kampagne diplomatische Einrichtungen in ganz Europa ins Visier. Die dafür eingesetzte Malware Grapeloader ein dient
der Systemanalyse,
der dauerhaften Infektion und
dem Nachladen weiterer Schadsoftware.
Die Angriffe erfolgen über gefälschte Einladungen zu Weinverkostungen, wie das Cybersicherheitsunternehmen Check Point herausgefunden hat. APT29 zählt zu den technisch versiertesten staatlich unterstützten Gruppen und war unter anderem am SolarWinds-Hack 2020 beteiligt. In Deutschland erregte die Gruppe 2024 Aufsehen, als die Hacker Politiker der CDU zu einem fingierten Abendessen einluden.
Spionage mit manipulierter PowerPoint-Datei
Die Gruppe nutzt in ihrer aktuellen Kampagne weiterhin die Backdoor Wineloader, ersetzt jedoch den bisherigen JavaScript-Loader Rootsaw durch den neuen Malware-Dropper Grapeloader. Dieser wird über eine DLL-Side-Loading-Schwachstelle aktiviert.
Die Angriffe erfolgen über Phishing-Mails mit einem Link zur Datei wine.zip, die eine manipulierte PowerPoint-Datei und zwei DLLs enthält – darunter ppcore.dll, die Grapeloader-Malware.
Diese .dll
sorgt für Persistenz,
sammelt Systemdaten und
kommuniziert im 60-Sekunden-Takt mit einem C2-Server.
Phishing im Stil früherer Kampagnen
Die Experten von Check Point entdeckten eine neue Variante der Wineloader-Backdoor namens vmtools.dll. Diese weist starke Ähnlichkeiten mit früheren DLLs wie AppvIsvSubsystems64.dll und ppcore.dll auf. Die Datei wurde vermutlich erneut per DLL-Side-Loading über eine vertrauenswürdige Datei, möglicherweise aus dem VMware Tools-Paket, nachgeladen.
Diese Technik, die APT29 bereits zuvor einsetzte, ermöglicht das unauffällige Ausführen von Schadcode. Die Vorgehensweise erinnert stark an eine frühere Kampagne im März 2024, bei der ebenfalls Wineloader verwendet wurde. Auch diese Angriffe begannen mit einer Phishing-Mail, getarnt als Einladung zu einer Weinverkostung.
Hilfestellung für Sicherheitsteams
Die Experten von Check Point entdeckten zudem Indikatoren für eine Kompromittierung von
Dateinamen,
Datei-Hashes und
C2-URLs.
Solche Hinweise können von Sicherheitsteams dafür verwendet werden, Kennungen und Abfragen zur Bedrohungssuche zu erstellen, so die Sicherheitsfirma.
No Responses