MalwareHackerangriffeSchwachstellen

AgingFly-Malware: Ukrainische Krankenhäuser und Behörden im Visier von Spionagekampagne

AgingFly-Malware: Ukrainische Krankenhäuser und Behörden im Visier von Spionagekampagne
Zusammenfassung

Eine neue Spionagekampagne bedroht kritische Infrastrukturen in der Ukraine: Die Hackergruppe UAC-0247 hat in den vergangenen zwei Monaten gezielt ukrainische Krankenhäuser, Rettungsdienste und kommunale Behörden mit der neu entdeckten Malware AgingFly angegriffen. Die Cyberkriminellen versendeten dabei täuschend echte Phishing-E-Mails, die als Diskussionen über humanitäre Hilfsvorschläge getarnt waren und ihre Opfer zum Download bösartiger Archive verleiteten. Nach erfolgreicher Infiltration installierten die Angreifer ein Paket mehrerer Malware-Tools, darunter AgingFly, SilentLoop, ChromeElevator und ZapixDesk – mit dem Ziel, sensible Daten zu stehlen, Authentifizierungsdaten abzugreifen und teilweise auch Kryptowährungen zu schürfen. Besonders bemerkenswert ist die Sophistiziertheit der Attacken: Angreifer nutzen KI-generierte gefälschte Webseiten oder infiltrieren legitime Websites mit bösartigen Skripten. Für deutsche Nutzer und Organisationen ist dieses Szenario ein warnendes Beispiel für zielgerichtete Angriffe auf kritische Infrastrukturen. Obwohl die Kampagne aktuell auf die Ukraine fokussiert, sollten deutsche Krankenhäuser, Behörden und Unternehmen ihre Cybersicherheitsmaßnahmen überprüfen und ihre Mitarbeiter intensiver vor Phishing-Angriffen warnen.

Die ukrainische Cyber-Notfall-Einsatztruppe CERT-UA hat Details zu einer umfangreichen Espionagekampagne veröffentlicht, die von der Hackergruppe UAC-0247 durchgeführt wurde. Die Angreifer nutzten eine Malware-Toolbox aus mehreren Komponenten, angeführt von dem neu identifizierten Schadprogramm AgingFly.

Die typische Angriffskette begann mit täuschend echten Phishing-E-Mails. Diese gaben sich als Diskussionen über Vorschläge für humanitäre Hilfe aus und lockten Opfer mit Links zu Downloads von bösartigen Archiv-Dateien. Um die Glaubwürdigkeit zu erhöhen, erstellten die Angreifer teilweise Websites für erfundene Organisationen — möglicherweise mit Unterstützung künstlicher Intelligenz — oder integrierten Malware-Scripts in ansonsten legitime Webseiten.

Einmal heruntergeladen und geöffnet, installierten die Archive ein Arsenal von Schadsoftware. Neben AgingFly waren dies SilentLoop, ChromeElevator und ZapixDesk. AgingFly selbst fungiert als Remote-Access-Trojaner und ermöglicht es den Angreifern, infizierte Computer vollständig zu kontrollieren: Befehlsausführung, Dateidownloads, Screenshot-Erfassung, Keystroke-Logging und Code-Ausführung sind möglich.

Das Tool SilentLoop ist spezialisiert auf Befehlsausführung und kommuniziert mit den Command-and-Control-Servern über den Telegram-Messenger. ChromeElevator zielt darauf ab, Authentifizierungsdaten aus Browsern zu extrahieren, während ZapixDesk WhatsApp-Konten anvisiert.

Besonders bemerkenswert ist die Entdeckung von XMRig in einigen Fällen — ein legitimes Kryptowährungsschürf-Werkzeug, das die Angreifer zur Nutzung der Rechnerressourcen ihrer Opfer einsetzten.

CERT-UA warnte auch vor parallelen Angriffsversuchen gegen die ukrainischen Streitkräfte. Im März wurden Drohnen-Operatoren über Signal mit vermeintlich aktualisierten Softwarepaketen angegriffen, die AgingFly enthielten.

Diese Kampagne ist Teil eines größeren Musters russischer Cyberaktivitäten. In einem separaten Vorfall drangen APT28-Hacker (auch als Fancy Bear bekannt) in über 170 E-Mail-Konten von ukrainischen Staatsanwälten und Ermittlern ein. Die Motivation liegt wahrscheinlich in der Überwachung von Ermittlungen gegen russische Spionage und der Beschaffung sensibler Informationen.

Für deutsche Institutionen und Unternehmen sollten diese Vorfälle als Warnsignal dienen: Spionage-orientierte Cyberangriffe werden sophistizierter, und die Zielauswahl erweitert sich.

Ähnliche Artikel