Europese diplomaten doelwit van Russische hackersgroep APT29

APT29, bekend als Midnight Blizzard of Cozy Bear, staat bekend om het aanvallen van high-profile organisaties, waaronder overheidsinstellingen en think tanks. Deze groep is ook gelinkt aan de aanval op de toeleveringsketen van SolarWinds. De activiteiten variëren van gerichte phishing-campagnes tot grote aanvallen op de toeleveringsketen, waarbij meestal gebruik wordt gemaakt van verschillende soorten malware.

In een recente golf van cyberaanvallen die wordt toegeschreven aan APT29, hebben dreigingsactoren zich voorgedaan als een Europees ministerie van Buitenlandse Zaken door misleidende e-mails te versturen waarin doelwitten werden uitgenodigd voor wijnproeverijen. Deze nieuwe phishingcampagne, die ongeveer een jaar na de laatste Wineloader-campagne opdook, is in de eerste plaats gericht op Europese diplomatieke entiteiten, met inbegrip van ambassades van niet-Europese landen.

De e-mails bevatten schadelijke links die de download van een backdoor, bekend als Grapeloader, initiëren of slachtoffers omleiden naar de legitieme website van het geïmiteerde Europese ministerie van Buitenlandse Zaken, wat de geloofwaardigheid van de e-mails vergroot.

Onderzoekers van CPR ontdekten de Grapeloader-varianten die naar specifieke doelwitten werden gestuurd en een nieuwe variant van Wineloader. De timing van de implementatie en de technische gelijkenissen tussen beide malwaretypes wijzen op een gecoördineerde en geleidelijke aanvalstactiek.

De evolutie van hun aanvalsmethoden toont het aanpassingsvermogen van de groep en onderstreept de noodzaak voor verhoogde waakzaamheid bij diplomatieke instellingen.

Voor een gedetailleerde analyse van de nieuwste campagne van APT29, raadpleeg hier het rapport.