Forschende warnen vor einer berüchtigten Hackergruppe, die mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung steht und nun erstmals politische Parteien in Deutschland angreift. Damit verschiebt sich der Fokus der Gruppe weg von den üblichen Zielen wie diplomatischen Missionen.

Die Phishing-Angriffe zielen darauf ab, eine Backdoor-Malware namens WineLoader einzusetzen, die es den Angreifern ermöglicht, Fernzugriff auf kompromittierte Geräte und Netzwerke zu erlangen.

APT29 (auch bekannt als Midnight Blizzard, NOBELIUM, Cozy Bear) ist eine russische Spionage-Hackergruppe, die vermutlich Teil des russischen Auslandsgeheimdienstes (SVR) ist. Die Gruppe wurde mit zahlreichen Cyberangriffen in Verbindung gebracht, darunter der berüchtigte SolarWinds-Supply-Chain-Angriff im Dezember 2020.

Die Bedrohungsakteure blieben in den vergangenen Jahren aktiv und zielten typischerweise auf Regierungen, Botschaften, hochrangige Beamte und verschiedene Einrichtungen ab, indem sie eine Reihe von Phishing-Taktiken oder Supply-Chain-Kompromissen nutzten.

APT29 hat sich in letzter Zeit auf Cloud-Dienste konzentriert, drang in Microsoft-Systeme ein, stahl Daten aus Exchange-Konten und kompromittierte die MS Office 365-E-Mail-Umgebung, die von Hewlett Packard Enterprise genutzt wurde.

Tarnung als politische Parteien

Forschende von Mandiant berichten, dass APT29 seit Ende Februar 2024 eine Phishing-Kampagne gegen deutsche politische Parteien durchführt. Dies markiert eine signifikante Verschiebung im operativen Fokus der Hackergruppe, da es das erste Mal ist, dass die Gruppe politische Parteien ins Visier nimmt.

Die Hacker verwenden Phishing-E-Mails, die thematisch um die Christlich Demokratische Union (CDU), eine der größten politischen Parteien in Deutschland und derzeit die zweitgrößte im Bundestag, kreisen. Die von Mandiant gesehenen Phishing-E-Mails geben vor, Einladungen der CDU zu einem Abendessen zu sein und enthalten einen Link zu einer externen Seite, die ein ZIP-Archiv mit dem Malware-Dropper „Rootsaw“ herunterlädt. Wird die Rootsaw-Malware ausgeführt, lädt sie eine Backdoor namens „WineLoader“ auf den Computer des Opfers herunter und führt diese aus.

Die WineLoader-Backdoor weist mehrere Ähnlichkeiten mit anderen Malware-Varianten auf, die in früheren APT29-Angriffen eingesetzt wurden, was auf einen gemeinsamen Entwickler hindeutet. Die Malware ist jedoch modular und angepasster als frühere Varianten, verwendet keine off-the-shelf Loader und etabliert einen verschlüsselten Kommunikationskanal für den Datenaustausch mit dem Command-and-Control-Server (C2). WineLoader wird mit RC4 entschlüsselt und direkt im Speicher über DLL-Side-Loading geladen, wobei eine legitime Windows-Executable (sqldumper.exe) missbraucht wird.

APT29 setzt seine Bemühungen fort, fortschrittliche technische Fähigkeiten zu demonstrieren und Werkzeuge zu entwickeln, um in die Systeme gezielter Einrichtungen einzudringen und sie auszuspionieren.

Der Wechsel zu politischen Parteien deutet auf die Absicht hin, politische Prozesse zu beeinflussen oder zu überwachen, was möglicherweise breitere geopolitische Ziele widerspiegelt.