{"id":2868,"date":"2025-04-22T13:42:20","date_gmt":"2025-04-22T13:42:20","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2868"},"modified":"2025-04-22T13:42:20","modified_gmt":"2025-04-22T13:42:20","slug":"phishing-kampagne-lockt-mit-russischem-wein","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2868","title":{"rendered":"Phishing-Kampagne lockt mit russischem Wein"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Von Wein zu Trauben: Neue Wineloader-Variante Grapeloader entdeckt.<\/p>\n

Red Kalf Creatives \u2013 shutterstock<\/p>\n<\/div>\n

Die russische Hackergruppe APT29<\/a>, die auch als Cozy Bear bekannt ist und dem Auslandsgeheimdienst SVR zugeordnet wird, nimmt mit einer neuen Phishing<\/a>-Kampagne diplomatische Einrichtungen in ganz Europa ins Visier. Die daf\u00fcr eingesetzte Malware Grapeloader ein dient<\/p>\n

der Systemanalyse,<\/p>\n

der dauerhaften Infektion und<\/p>\n

dem Nachladen weiterer Schadsoftware.<\/p>\n

Die Angriffe erfolgen \u00fcber gef\u00e4lschte Einladungen zu Weinverkostungen, wie das Cybersicherheitsunternehmen Check Point<\/a> herausgefunden hat. APT29 z\u00e4hlt zu den technisch versiertesten staatlich unterst\u00fctzten Gruppen und war unter anderem am SolarWinds-Hack 2020<\/a> beteiligt. In Deutschland erregte die Gruppe 2024 Aufsehen, als die Hacker Politiker der CDU zu einem fingierten Abendessen einluden.<\/p>\n

Spionage mit manipulierter PowerPoint-Datei<\/strong><\/h2>\n

Die Gruppe nutzt in ihrer aktuellen Kampagne weiterhin die Backdoor Wineloader, ersetzt jedoch den bisherigen JavaScript-Loader Rootsaw durch den neuen Malware-Dropper Grapeloader. Dieser wird \u00fcber eine DLL-Side-Loading-Schwachstelle aktiviert.<\/p>\n

Die Angriffe erfolgen \u00fcber Phishing-Mails mit einem Link zur Datei wine.zip, die eine manipulierte PowerPoint-Datei und zwei DLLs enth\u00e4lt \u2013 darunter ppcore.dll, die Grapeloader-Malware.<\/p>\n

Diese .dll<\/p>\n

sorgt f\u00fcr Persistenz,<\/p>\n

sammelt Systemdaten und<\/p>\n

kommuniziert im 60-Sekunden-Takt mit einem C2-Server.<\/p>\n

Phishing im Stil fr\u00fcherer Kampagnen<\/strong><\/h2>\n

Die Experten von Check Point<\/a> entdeckten eine neue Variante der Wineloader-Backdoor namens vmtools.dll<\/em>. Diese weist starke \u00c4hnlichkeiten mit fr\u00fcheren DLLs wie AppvIsvSubsystems64.dll<\/em> und ppcore.dll<\/em> auf. Die Datei wurde vermutlich erneut per DLL-Side-Loading \u00fcber eine vertrauensw\u00fcrdige Datei, m\u00f6glicherweise aus dem VMware Tools-Paket, nachgeladen.<\/p>\n

Diese Technik, die APT29 bereits zuvor einsetzte, erm\u00f6glicht das unauff\u00e4llige Ausf\u00fchren von Schadcode. Die Vorgehensweise erinnert stark an eine fr\u00fchere Kampagne im M\u00e4rz 2024, bei der ebenfalls Wineloader verwendet wurde. Auch diese Angriffe begannen mit einer Phishing-Mail, getarnt als Einladung zu einer Weinverkostung.<\/p>\n

Hilfestellung f\u00fcr Sicherheitsteams<\/strong><\/h2>\n

Die Experten von Check Point entdeckten zudem Indikatoren f\u00fcr eine Kompromittierung von<\/p>\n

Dateinamen,<\/p>\n

Datei-Hashes und<\/p>\n

C2-URLs.<\/p>\n

Solche Hinweise k\u00f6nnen von Sicherheitsteams daf\u00fcr verwendet werden, Kennungen und Abfragen zur Bedrohungssuche zu erstellen, so die Sicherheitsfirma.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Von Wein zu Trauben: Neue Wineloader-Variante Grapeloader entdeckt. Red Kalf Creatives \u2013 shutterstock Die russische Hackergruppe APT29, die auch als Cozy Bear bekannt ist und dem Auslandsgeheimdienst SVR zugeordnet wird, nimmt mit einer neuen Phishing-Kampagne diplomatische Einrichtungen in ganz Europa ins Visier. Die daf\u00fcr eingesetzte Malware Grapeloader ein dient der Systemanalyse, der dauerhaften Infektion und […]<\/p>\n","protected":false},"author":0,"featured_media":2869,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2868","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2868"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2868"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2868\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2869"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2868"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2868"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2868"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}