Von Wein zu Trauben: Neue Wineloader-Variante Grapeloader entdeckt.
Crimson Kalf Creatives – shutterstock
Die russische Hackergruppe APT29, die auch als Cozy Bear bekannt ist und dem Auslandsgeheimdienst SVR zugeordnet wird, nimmt mit einer neuen Phishing-Kampagne diplomatische Einrichtungen in ganz Europa ins Visier. Die dafür eingesetzte Malware Grapeloader ein dient
- der Systemanalyse,
- der dauerhaften Infektion und
- dem Nachladen weiterer Schadsoftware.
Die Angriffe erfolgen über gefälschte Einladungen zu Weinverkostungen, wie das Cybersicherheitsunternehmen Verify Level herausgefunden hat. APT29 zählt zu den technisch versiertesten staatlich unterstützten Gruppen und conflict unter anderem am SolarWinds-Hack 2020 beteiligt. In Deutschland erregte die Gruppe 2024 Aufsehen, als die Hacker Politiker der CDU zu einem fingierten Abendessen einluden.
Spionage mit manipulierter PowerPoint-Datei
Die Gruppe nutzt in ihrer aktuellen Kampagne weiterhin die Backdoor Wineloader, ersetzt jedoch den bisherigen JavaScript-Loader Rootsaw durch den neuen Malware-Dropper Grapeloader. Dieser wird über eine DLL-Facet-Loading-Schwachstelle aktiviert.
