Abendessen mit APT29

31. März 2024
| Keine Kommentare
B2B Cyber Security ShortNews

Beitrag teilen

Ende Februar 2024 identifizierte Mandiant APT29 – eine von der Russischen Föderation unterstützte Bedrohungsgruppe, die von mehreren Regierungen mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung gebracht wird – die eine Phishing-Kampagne durchführte, die auf deutsche politische Parteien abzielte.

In Übereinstimmung mit den APT29-Operationen, die bis ins Jahr 2021 zurückreichen, wurde bei dieser Operation die Hauptnutzlast ROOTSAW (auch bekannt als EnvyScout) von APT29 genutzt, um eine neue Backdoor-Variante auszuliefern, die als WINELOADER bekannt ist. Diese Aktivität stellt eine Abweichung von der für APT29 typischen Ausrichtung auf Regierungen, ausländische Botschaften und andere diplomatische Vertretungen dar und ist das erste Mal, dass Mandiant ein operatives Interesse dieses APT29-Subclusters an politischen Parteien festgestellt hat.

Darüber hinaus hat APT29 zwar schon früher Köderdokumente mit dem Logo deutscher Regierungsorganisationen verwendet, doch ist dies der erste Fall, in dem die Gruppe deutschsprachige Köderinhalte verwendet hat – eine mögliche Folge der unterschiedlichen Zielgruppen der beiden Operationen. Die Phishing-E-Mails, die an die Opfer geschickt wurden, gaben vor, eine Einladung zu einem Abendessen zu sein und trugen ein Logo der Christlich Demokratischen Union (CDU). Das deutschsprachige Köderdokument enthält einen Phishing-Link, der die Opfer zu einer bösartigen ZIP-Datei führt, die einen ROOTSAW-Dropper enthält, der auf einer von den Akteuren kontrollierten kompromittierten Website gehostet wird. ROOTSAW lieferte in der zweiten Stufe ein Köderdokument mit CDU-Motiven und in der nächsten Stufe eine WINELOADER-Nutzlast.

Mehr bei Mandiant.com

 

Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.

 

Passende Artikel zum Thema

Schwachstelle in Fahrtenschreiber könnte per Wurm infiziert werden

Nach Angaben von Forschern der Colorado State University könnten in über 14 Millionen US-Lastkraftwagen Schwachstellen in den gängigen elektronischen Fahrtenschreibern ➡ Weiterlesen

Abendessen mit APT29

Ende Februar 2024 identifizierte Mandiant APT29 - eine von der Russischen Föderation unterstützte Bedrohungsgruppe, die von mehreren Regierungen mit dem ➡ Weiterlesen

Neue Variante der SAML-Angriffstechnik

Sicherheitsforscher haben eine neue Variante der berüchtigten Golden SAML-Angriffstechnik, der das Team den Namen „Silver SAML“ gegeben hat, entdeckt. Mit ➡ Weiterlesen

EU-Diplomaten: Einladung zur Weinprobe mit Malware im Gepäck 

Eine kürzlich identifizierte Cyber-Spionagekampagne zeigt, wie hochspezialisierte Angreifer staatliche Einrichtungen und Diplomaten ins Visier nehmen. Diese Bedrohungsakteure nutzten gefälschte Einladungen ➡ Weiterlesen

Report: 40 Prozent mehr Phishing weltweit

Der aktuelle Spam- und Phishing-Report von Kaspersky für das Jahr 2023 spricht eine eindeutige Sprache: Nutzer in Deutschland sind nach ➡ Weiterlesen

BSI legt Mindeststandard für Webbrowser fest

Das BSI hat den Mindeststandard für Webbrowser für die Verwaltung überarbeitet und in der Version 3.0 veröffentlicht. Daran können sich ➡ Weiterlesen

Tarnkappen-Malware zielt auf europäische Unternehmen

Hacker greifen mit Tarnkappen-Malware viele Unternehmen in ganz Europa an. ESET Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen via ➡ Weiterlesen

IT-Security: Grundlage für LockBit 4.0 entschärft

in Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in der Entwicklung befindliche und unveröffentlichte Version ➡ Weiterlesen

 

 

Short-News
, , , ,