![[Externer Link] Webseite - Autonome Provinz Bozen - Südtirol](/css/img/APBZ_Logo_Website_DE_IT_LAD.svg){kind=logo}
Die der Gruppe APT28 zugeschriebene Kampagne zum Diebstahl von Zugangsdaten betrifft Energieorganisationen, Forschungszentren und Denkfabriken
Eine neue Runde von Aktivitäten zum Sammeln von Anmeldedaten wird der aus Russland stammenden Cyberspionage-Gruppe APT28 (auch als BlueDelta bekannt) zugeschrieben, die es auf Mitarbeiter von Einrichtungen abgesehen hat, die mit einer türkischen Energie- und Atomforschungsagentur verbunden sind, sowie auf Mitglieder eines europäischen Think-Tanks und Organisationen in Nordmazedonien und Usbekistan.
Untersuchungen des Nachrichtendienstes Recorded Future zeigen, dass diese Kampagne - die einer anderen, kürzlich beobachteten Operation gegen Benutzer des Webmail-Dienstes UKR[.]net folgt - gefälschte Anmeldeseiten verwendet, um Benutzernamen und Passwörter der Opfer zu sammeln. Diese Seiten imitieren legitime Dienste wie Microsoft Outlook Web Access (OWA), Google und Sophos VPN-Portale, um die Täuschung zu verstärken.
Der Angriff beginnt mit einer Phishing-E-Mail, die einen verkürzten Link enthält. Der Anklicker wird über Dienste wie Webhook[.]site oder InfinityFree auf ein täuschendes PDF-Dokument umgeleitet: Nach einer kurzen Betrachtung wird das Opfer auf eine gefälschte Anmeldeseite weitergeleitet. Sobald das Opfer seine Anmeldedaten eingegeben hat, werden diese an die von den Angreifern kontrollierte Infrastruktur übermittelt, und der Benutzer wird dann auf die legitime Website umgeleitet, wodurch die Wahrscheinlichkeit eines Alarms verringert wird.
Zu den beobachteten Techniken gehört die Verwendung authentischer PDF-Dokumente - wie z. B. Veröffentlichungen von Forschungsinstituten oder politische Briefings - um den Inhalt glaubwürdiger zu machen und die Opfer zur Eingabe ihrer Anmeldedaten zu bewegen.
Laut Recorded Future führte APT28 im Jahr 2025 mindestens vier separate Kampagnen durch, jede mit einem spezifischen Thema und Ziel, aber mit einem ähnlichen Modus Operandi, um sensible Benutzerdaten zu exfiltrieren.
Sicherheitsempfehlungen
- Seien Sie vorsichtig bei unaufgeforderten E-Mails mit verkürzten Links oder Aufforderungen zum Zugriff auf Ihre Anmeldedaten.
- Überprüfen Sie immer die echte URL, bevor Sie Benutzername und Passwort eingeben, insbesondere auf scheinbar vertrauten Anmeldeseiten.
- Aktivieren Sie, wo immer möglich,die Multi-Faktor-Authentifizierung (MFA), um die Verwendung gestohlener Anmeldedaten zu verhindern.
- Verwenden Sie Anti-Phishing-Filter und E-Mail-Sicherheitslösungen, um bösartige Nachrichten zu blockieren, bevor sie die Benutzer erreichen.
- Überwachen Sie Zugriffsprotokolle, um verdächtige oder abnormale Anmeldeversuche zu erkennen.
SOC
Andere Pressemitteilungen dieser Kategorie
- Neue ClickFix-Kampagne nutzt Social Engineering zur Verbreitung von Malware über irreführende Eingabeaufforderungen (19.02.2026, 23:00)
- Microsoft behebt eine schwerwiegende Sicherheitslücke in Windows Admin Center, die eine Erhöhung der Berechtigungen ermöglicht (19.02.2026, 23:00)
- Staatlich unterstützte Cyber-Spionagegruppe kompromittiert Regierungsnetzwerke und kritische Infrastrukturen in 37 Ländern (05.02.2026, 23:00)
![[external Link]: Dipartimento per la trasformazione digitale](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/89d3384e-8482-4aa1-8ae3-05b637cd88dc/dipartimento-transformazione-digitale.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: ACN](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/ac0e1861-4b7f-4ba1-85de-2e7e39b5372f/acn.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: Siag](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/dd32e81c-8456-4c46-803a-21a6983881c3/siag.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)