MalwareHackerangriffeDatenschutz

AgingFly: Neue Malware-Familie zielt auf ukrainische Behörden und Krankenhäuser ab

AgingFly: Neue Malware-Familie zielt auf ukrainische Behörden und Krankenhäuser ab
Zusammenfassung

Die neue Malware-Familie „AgingFly" ist erstmals bei gezielten Cyberangriffen auf ukrainische Behörden, Krankenhäuser und möglicherweise Vertreter der Streitkräfte beobachtet worden. Das ukrainische nationale CERT-Team hat die Anschläge der Hackergruppe UAC-0247 zugeordnet und dokumentiert, wie die Angreifer über täuschende E-Mails mit vermeintlichen Hilfsangeboten vorgehen, um Opfer zum Anklicken von Links zu verleiten. Die Malware zeichnet sich durch ihre Fähigkeit aus, Authentifizierungsdaten aus Chromium-basierten Browsern und der WhatsApp-Anwendung zu stehlen – ein erhebliches Sicherheitsrisiko für Regierungsinstitutionen und kritische Infrastrukturen. Besonders bemerkenswert ist AgingFlys technische Besonderheit: Im Gegensatz zu typischen Malwares werden Befehle nicht vorprogrammiert mitgeliefert, sondern dynamisch vom Command-and-Control-Server als Quellcode heruntergeladen und zur Laufzeit kompiliert. Dies erschwert die Erkennung durch Sicherheitssoftware erheblich. Für Deutschland könnten vergleichbare Angriffsszenarien eine Gefahr für Behörden, Krankenhäuser und Verteidigungseinrichtungen darstellen, insbesondere wenn ähnliche Techniken adaptiert werden. Die Empfehlungen des CERT-UA, die Ausführung von LNK-, HTA- und JS-Dateien zu blockieren, sollten auch von deutschen Organisationen beachtet werden.

Die ukrainische Cybersicherheitsbehörde CERT-UA hat eine neue Malware-Familie namens AgingFly dokumentiert, die in koordinierten Angriffen gegen ukrainische Institutionen zum Einsatz kommt. Die Attacken richten sich primär gegen lokale Regierungsbehörden und Krankenhäuser, könnten aber auch Vertreter der ukrainischen Verteidigungskräfte betreffen.

Die Angriffskampagne beginnt mit täuschend echten E-Mails, die vermeintliche Hilfsangebote kommunizieren und die Opfer zum Anklicken von Links verleiten. Diese Links führen entweder zu legitimen Websites, die durch Cross-Site-Scripting-Lücken kompromittiert wurden, oder zu gefälschten Seiten, die mit KI-Tools erstellt worden sind. Die Opfer erhalten daraufhin Archive mit speziellen Verknüpfungsdateien (LNK), die einen eingebauten HTA-Handler starten und einen zwei-stufigen Lade-Mechanismus in Gang setzen.

Die technische Implementierung zeigt hohe Sophistication: Nach der initialen Infektion etablieren die Angreifer eine verschlüsselte TCP-Verbindung zum Command-and-Control-Server. Besonders bemerkenswert ist die Verwendung von Open-Source-Tools wie ChromElevator zur Extraktion von Passwörtern und Cookies aus Chromium-basierten Browsern sowie ZAPiDESK zum Auslesen von WhatsApp-Datenbanken. Die Malware nutzt auch public Tools wie RustScan und Ligolo-ng für Netzwerk-Reconnaissance und laterale Bewegungen innerhalb von Infrastrukturen.

AgingFly selbst ist eine C#-basierte Malware, die Fernsteuerung, Dateiexfiltration, Bildschirmaufnahmen, Keystroke-Logging und beliebige Code-Ausführung ermöglicht. Ihre Kommunikation mit dem C2-Server erfolgt über WebSockets mit AES-CBC-Verschlüsselung. Das Besondere: AgingFly enthält keine vordefinierten Kommandos. Stattdessen lädt sie Quellcode vom Server herunter und kompiliert die Befehle dynamisch zur Laufzeit. Dies reduziert zwar die initiale Payload-Größe und erschwert statische Erkennung, erhöht aber auch die Komplexität und das Laufzeit-Risiko.

CERT-UA empfiehlt als Gegenmaßnahmen das Blockieren von LNK-, HTA- und JavaScript-Dateien sowie das Deasaktivieren verdächtiger PowerShell-Skripte. Deutsche Organisationen sollten diese Erkenntnisse in ihre Security-Strategien einbeziehen, da ähnliche Malware-Familien erfahrungsgemäß auch bei anderen Zielgruppen und in anderen Ländern zum Einsatz kommen.

Ähnliche Artikel