Russische Hacker zielen mit WineLoader-Malware auf deutsche Parteien
Russische Hacker sollen gezielt deutsche Politiker ins Visier genommen haben. Nachdem bekannt wurde, dass die Hacker zuletzt direkt bei Microsoft Zugriff auf interne Systeme bekamen, sind nun hierzulande die Warnungen besonders laut.
APT29 (auch bekannt als Midnight Blizzard, Nobelium oder Cozy Bear) ist eine russische Spionage-Hackergruppe, die vermutlich dem russischen Auslandsgeheimdienst (SVR) angehört.
In jüngster Zeit soll sich die Aktivität von APT29 auf Cloud-Dienste konzentriert haben. Die Hacker sind in Microsoft-Systeme eingedrungen und haben Daten von Exchange-Konten gestohlen. So wurde unter anderem auch die von Hewlett Packard Enterprise genutzte MS Office 365-E-Mail-Umgebung kompromittiert.
Die Hacker verwenden Phishing-E-Mails mit der Christlich Demokratische Union (CDU) als Köder: Die von Mandiant entdeckten Phishing-E-Mails geben sich als Essenseinladungen der CDU aus und enthalten einen Link zu einer externen Seite, die ein ZIP-Archiv mit dem Malware-Dropper "Rootsaw" enthält. Infografik Computerkriminalität: Wo Cyberattacken ihren Ursprung haben
Wenn die Rootsaw-Malware ausgeführt wird, lädt sie eine Backdoor namens "WineLoader" auf den Computer des Opfers. Die WineLoader-Malware wurde bereits im Februar entdeckt, wo sie mit Einladungen an Diplomaten zu einer Weinprobe Huckepack kam. Die WineLoader-Backdoor weist einige Ähnlichkeiten mit anderen Malware-Varianten auf, die bei früheren APT29-Angriffen eingesetzt wurden, wie z. B. "burnbatter", "myskybeat" und "beatdrop", was auf einen gemeinsamen Entwickler schließen lässt.
Mandiant hatte WineLoader schon im Januar 2024 entdeckt, damals kam die Schaftsoftware gegen Diplomaten in der Tschechischen Republik, Deutschland, Indien, Italien, Lettland und Peru zum Einsatz.
Die Malware ist jedoch modularer und individueller als frühere Schadcode-Varianten, verwendet keine Standard-Loader und baut einen verschlüsselten Kommunikationskanal für den Datenaustausch mit dem Command-and-Control-Server (C2) auf. Inwiefern es Hackern bereits gelungen sein könnte, mit der Einladung fremde Systeme zu infiltrieren, ist unbekannt.
Siehe auch:
Backdoor-Malware namens WineLoader entdeckt
Experten des US-IT-Sicherheitsunternehmens Mandiant hatten dabei entdeckt, dass die Hackergruppe APT29 zum ersten Mal politische Parteien in Deutschland als Angriffsziel auserkoren hat. Die Phishing-Angriffe zielen darauf ab, eine Backdoor-Malware namens WineLoader einzuschleusen, die es ermöglicht, aus der Ferne Zugang zu kompromittierten Geräten und Netzwerken zu verschaffen.APT29 (auch bekannt als Midnight Blizzard, Nobelium oder Cozy Bear) ist eine russische Spionage-Hackergruppe, die vermutlich dem russischen Auslandsgeheimdienst (SVR) angehört.
In jüngster Zeit soll sich die Aktivität von APT29 auf Cloud-Dienste konzentriert haben. Die Hacker sind in Microsoft-Systeme eingedrungen und haben Daten von Exchange-Konten gestohlen. So wurde unter anderem auch die von Hewlett Packard Enterprise genutzte MS Office 365-E-Mail-Umgebung kompromittiert.
Neues Angriffsziel
Laut den Forschern von Mandiant führt APT29 nun seit Ende Februar eine neue Phishing-Kampagne gegen deutsche Parteien durch. Damit hat sich der operative Schwerpunkt der Hackergruppe deutlich verschoben, denn es ist das erste Mal, dass die Hacker politische Parteien ins Visier nehmen.Die Hacker verwenden Phishing-E-Mails mit der Christlich Demokratische Union (CDU) als Köder: Die von Mandiant entdeckten Phishing-E-Mails geben sich als Essenseinladungen der CDU aus und enthalten einen Link zu einer externen Seite, die ein ZIP-Archiv mit dem Malware-Dropper "Rootsaw" enthält. Infografik Computerkriminalität: Wo Cyberattacken ihren Ursprung haben
Wenn die Rootsaw-Malware ausgeführt wird, lädt sie eine Backdoor namens "WineLoader" auf den Computer des Opfers. Die WineLoader-Malware wurde bereits im Februar entdeckt, wo sie mit Einladungen an Diplomaten zu einer Weinprobe Huckepack kam. Die WineLoader-Backdoor weist einige Ähnlichkeiten mit anderen Malware-Varianten auf, die bei früheren APT29-Angriffen eingesetzt wurden, wie z. B. "burnbatter", "myskybeat" und "beatdrop", was auf einen gemeinsamen Entwickler schließen lässt.
Mandiant hatte WineLoader schon im Januar 2024 entdeckt, damals kam die Schaftsoftware gegen Diplomaten in der Tschechischen Republik, Deutschland, Indien, Italien, Lettland und Peru zum Einsatz.
Die Malware ist jedoch modularer und individueller als frühere Schadcode-Varianten, verwendet keine Standard-Loader und baut einen verschlüsselten Kommunikationskanal für den Datenaustausch mit dem Command-and-Control-Server (C2) auf. Inwiefern es Hackern bereits gelungen sein könnte, mit der Einladung fremde Systeme zu infiltrieren, ist unbekannt.
Zusammenfassung
- Russische Hacker attackieren deutsche Politiker
- Zugriff auf Microsoft-Systeme durch Hackergruppe APT29
- Phishing-Angriffe mit WineLoader-Backdoor-Malware
- APT29 fokussiert auf politische Parteien in Deutschland
- Mandiant entdeckt neue Phishing-Kampagne gegen CDU
- Rootsaw-Malware lädt WineLoader auf betroffene PCs
- WineLoader ähnelt früheren APT29-Malware-Varianten
Siehe auch:
- Hacker-Alarm: US-Behörden zweifeln an Microsofts Sicherheit
- Hacker arbeiten mit generativer KI: Microsoft untersucht Vorfälle
- Exchange Online-Hack: So wurde Microsoft ausgetrickst
- HP Enterprise von russischer Gruppe gehackt, die auch Microsoft angriff
- Russische Angreifer hacken E-Mail-Konten der Microsoft-Chefetage
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen