Image by Monique Carrati, from Unsplash
Hackers Richten Zich op EU Diplomaten met Valse Uitnodigingen voor Wijnevenementen
Leestijd: 3 minuut
Laatst bijgewerkt: Apr 17, 2025
-
![Kiara Fabbri]()
-
![Het lokalisatie- en vertaalteam]()
Vertaald door Het lokalisatie- en vertaalteam Lokalisatie- en vertaaldiensten
Russische hackers, die zich voordeden als EU-ambtenaren, lokten diplomaten met valse uitnodigingen voor wijnproeverijen en zetten de onopvallende malware GRAPELOADER in als onderdeel van een steeds veranderende spionagecampagne.
Heb je haast? Hier zijn de snelle feiten:
- APT29 richt zich op EU-diplomaten met phishing-e-mails die vermomd zijn als uitnodigingen voor wijnevenementen.
- GRAPELOADER gebruikt sluwere tactieken dan eerdere malware, inclusief anti-analyse upgrades.
- Malware voert verborgen code uit via DLL zijladen in een PowerPoint-bestand.
Cybersecurity onderzoekers hebben een nieuwe golf van phishing-aanvallen ontdekt die worden uitgevoerd door de Russisch-verbonden hackergroep APT29, ook bekend als Cozy Bear. De campagne, gesignaleerd door Check Point, richt zich op Europese diplomaten door ze te misleiden met nepuitnodigingen voor diplomatieke wijnproeverijen.
Het onderzoek heeft uitgewezen dat aanvallers zich voordeden als een Europees Ministerie van Buitenlandse Zaken en officieel ogende uitnodigingen naar diplomaten stuurden via e-mail. De e-mails bevatten links die, als erop werd geklikt, leidden tot het downloaden van verborgen malware in een bestand genaamd wine.zip.
Dit bestand installeert een nieuwe tool genaamd GRAPELOADER, die de aanvallers in staat stelt om een voet aan de grond te krijgen in de computer van het slachtoffer. GRAPELOADER verzamelt systeeminformatie, creëert een achterdeur voor verdere commando’s en zorgt ervoor dat de malware op het apparaat blijft, zelfs na een herstart.
“GRAPELOADER verfijnt de anti-analysetechnieken van WINELOADER en introduceert geavanceerdere stealth-methoden,” merkten de onderzoekers op. De campagne maakt ook gebruik van een nieuwere versie van WINELOADER, een backdoor die bekend is van eerdere APT29-aanvallen, die waarschijnlijk in de latere fasen wordt gebruikt.
De phishing-e-mails werden verzonden vanaf domeinen die echte ambtenaren van het ministerie nabootsten. Als de link in de e-mail het doelwit niet kon misleiden, werden er vervolg-e-mails gestuurd om het opnieuw te proberen. In sommige gevallen werden gebruikers die op de link klikten, omgeleid naar de daadwerkelijke website van het Ministerie om verdenking te voorkomen.
Het infectieproces maakt gebruik van een legitiem PowerPoint-bestand om verborgen code uit te voeren via een methode die “DLL side-loading” wordt genoemd. De malware kopieert zichzelf vervolgens naar een verborgen map, wijzigt systeeminstellingen om automatisch te starten en maakt elke minuut verbinding met een externe server om te wachten op verdere instructies.
De aanvallers hebben grote moeite gedaan om verborgen te blijven. GRAPELOADER gebruikt complexe technieken om zijn code te verwarren, zijn sporen te wissen en detectie door beveiligingssoftware te voorkomen. Deze methoden maken het moeilijker voor analisten om de malware te ontleden en te bestuderen.
Deze campagne toont aan dat APT29 zijn tactieken blijft ontwikkelen, waarbij het creatieve en misleidende strategieën gebruikt om te spioneren op overheidsdoelen in heel Europa.
Vorige verhaal
Nieuwste artikelen 
Laat een reactie achter
Annuleer