Een geavanceerde phishingcampagne gericht op Europese diplomatieke instellingen is onlangs blootgelegd door beveiligingsonderzoekers van Check Point Research (CPR). De campagne werd uitgevoerd door APT29, ook wel bekend onder de namen Midnight Blizzard of Cozy Bear, een hackerscollectief dat nauwe banden zou hebben met de Russische inlichtingendiensten.
Hackersgroep
Volgens CPR deden de aanvallers zich in hun meest recente operatie voor als een groot Europees ministerie van Buitenlandse Zaken. Ze verspreidden overtuigende phishingmails waarin doelwitten, diplomaten en ambassademedewerkers, werden uitgenodigd voor fictieve diplomatieke evenementen zoals wijnproeverijen. Achter deze schijnbaar onschuldige uitnodigingen ging echter een geraffineerde aanvalsschil schuil.
De e-mails bevatten links die de download van kwaadaardige software, genaamd Grapeloader, in gang zetten. In sommige gevallen werden slachtoffers zelfs doorgeleid naar de echte website van het Europese ministerie, waardoor de e-mails des te geloofwaardiger leken. Deze techniek wijst op een verfijnde aanpak waarbij vertrouwen wordt misbruikt om systemen ongemerkt te compromitteren.
APT29
APT29 is geen onbekende in de wereld van cyberspionage. De groep werd eerder in verband gebracht met grootschalige aanvallen op overheidsinstanties, denktanks en de spraakmakende aanval op softwarebedrijf SolarWinds. De recent ontdekte campagne volgt ongeveer een jaar na de beruchte Wineloader-campagne, en lijkt qua opzet en gebruikte malware sterk op zijn voorganger.
Opvallend is dat onderzoekers een nieuwe variant van zowel Grapeloader als Wineloader identificeerden, wat wijst op een bewuste en gecoördineerde evolutie van hun aanvalsmethoden. De technische gelijkenissen suggereren dat deze malware-families worden doorontwikkeld als onderdeel van een bredere en langdurige strategie.
Campagne
De campagne was in de eerste plaats gericht op Europese diplomaten, maar ook ambassades van niet-Europese landen bleken doelwit. Dit onderstreept de internationale reikwijdte van de operatie en de voortdurende dreiging die van hackersgroep APT29 uitgaat.
De ontdekking benadrukt de noodzaak van verhoogde cyberwaakzaamheid binnen diplomatieke kringen. Zeker nu APT29 blijft investeren in steeds geavanceerdere aanvalstechnieken, is een proactieve beveiligingsaanpak cruciaal om gevoelige informatie te beschermen.