Check Point Research (CPR) hat eine signifikante Welle gezielter Phishing-Angriffe festgestellt, die im Januar 2025 begann. Diese Angriffe zielen auf Regierungsbeamte und Diplomaten in ganz Europa ab und verwenden ausgefeite Techniken, Taktiken und Verfahren (TTPs), die denen einer früheren Phishing-Kampagne namens Wineloader sehr ähnlich sind.
Die Angriffe tragen die Handschrift der russischen APT-Gruppe APT29, die auch unter den Namen Midnight Blizzard oder Cozy Bear bekannt ist. Dieselbe Hacker-Gruppe wurde bereits für den SolarWinds-Angriff verantwortlich gemacht.
Die aktuelle Kampagne scheint eine Fortsetzung der früheren Wineloader-Operation zu sein, bei der die Angreifer das italienische Außenministerium imitierten, um gefälschte Einladungen zu diplomatischen Veranstaltungen (vorwiegend Weinproben) zu verbreiten.
Im Rahmen der aktuellen Angriffswelle wurden mehrere E-Mails von zwei verschiedenen Domains versendet. Die Betreffzeilen “Wine Event”, “Wine Testing Event” oder “Diplomatic dinner” sollten Vertrauen erwecken und zum Klick verleiten.
Jede E-Mail enthielt einen betrügerischen Link, der beim Anklicken eine Datei namens wine.zip herunterlädt - der nächste Schritt in der Angriffskette. Bemerkenswert ist die Domain des Links, die mit der Absender-Domain übereinstimmt, was die Glaubwürdigkeit erhöht.
Fortschrittliche Verschleierungstechniken
Der Server, der den schädlichen Link bereitstellt, ist offenbar gut gegen Scanning und automatisierte Analyse-Tools geschützt. Der verseuchte Download wird nur unter bestimmten Bedingungen aktiviert, etwa zu bestimmten Zeiten oder von bestimmten geografischen Standorten aus.
Zudem wurde eine neue Variante von Wineloader entdeckt, die vermutlich in einer späteren Phase des Angriffs zum Einsatz kommen wird. Der Zeitstempel der Kompilierung dieser Wineloader-Variante und ihre Ähnlichkeit mit dem neu identifizierten Grapeloader deuten darauf hin, dass sie wahrscheinlich in einer späteren Phase des Angriffs implementiert wurde.