MÜNCHEN (IT BOLTWISE) – Eine neue Welle russischer Cyberangriffe, die deutsche Politikzirkel mit der raffinierten WineLoader-Malware ins Visier nimmt, hebt die wachsende Bedrohung durch gezielte Phishing-Kampagnen hervor.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Russische Cyberkriminelle haben es in einer neuen Offensive gezielt auf deutsche Politiker und Parteien abgesehen. Diese Entwicklung folgt auf Enthüllungen, dass die Angreifer zuvor direkten Zugriff auf Microsofts interne Systeme erlangten, wodurch die Alarmglocken insbesondere in Deutschland schrillen.
Eine von Experten des US-amerikanischen IT-Sicherheitsunternehmens Mandiant entdeckte Backdoor-Malware, bekannt als WineLoader, markiert den ersten bekannten Versuch, politische Parteien in Deutschland mittels einer Phishing-Kampagne gezielt anzugreifen. Die Malware ermöglicht ferngesteuerten Zugriff auf infizierte Geräte und Netzwerke.
APT29, auch bekannt unter den Namen Midnight Blizzard, Nobelium oder Cozy Bear, wird eine Verbindung zum russischen Auslandsgeheimdienst nachgesagt. Die Gruppe hat ihre Aktivitäten kürzlich auf Cloud-Services ausgeweitet, einschließlich eines Eindringens in Microsoft-Systeme und des Diebstahls von Daten aus Exchange-Konten. Betroffen von solchen Angriffen war unter anderem auch die MS Office 365-E-Mail-Umgebung von Hewlett Packard Enterprise.
Mandiant-Forscher berichten, dass APT29 seit Ende Februar eine spezifische Phishing-Kampagne gegen deutsche Parteien durchführt, womit sich der operative Fokus der Gruppe deutlich erweitert. Diese Kampagne nutzt Phishing-E-Mails, die vorgeblich von der Christlich Demokratischen Union (CDU) stammen und Essenseinladungen beinhalten, um Opfer auf externe Seiten zu locken. Dort wird ein ZIP-Archiv mit dem Malware-Dropper „Rootsaw“ heruntergeladen, der wiederum WineLoader auf das System des Opfers lädt.
Die Taktik, mit scheinbar harmlosen Einladungen Malware zu verbreiten, ist nicht neu für APT29. WineLoader wurde erstmals im Februar entdeckt und zielte damals auf Diplomaten mit Einladungen zu einer Weinprobe. Die Charakteristika von WineLoader sowie frühere APT29-Malware-Varianten deuten auf einen gemeinsamen Entwickler hin.
WineLoader unterscheidet sich in seiner Modularität und Anpassungsfähigkeit von vorherigen Schadsoftware-Versionen, indem es standardisierte Lademethoden vermeidet und einen verschlüsselten Kommunikationskanal mit dem Command-and-Control-Server aufbaut. Das Ausmaß, in dem diese Phishing-Angriffe erfolgreich Systeme infiltrieren konnten, bleibt ungewiss.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.