Die russisch-verbundene Hackergruppe UAC-0050 hat eine europäische Finanzinstitution mit gefälschter ukrainischer Domäne angegriffen und damit erstmals ihre Operationen über die Ukraine hinaus auf westeuropäische Unterstützer ausgeweitet.
Eine dem russischen Staat nahestehende Cyberbedrohungsgruppe hat eine europäische Finanzinstitution ins Visier genommen. Die Attacke deutet darauf hin, dass sich die Aktivitäten des Bedrohungsakteurs erstmals über das Kriegsgebiet Ukraine hinaus auf Institutionen ausweiten, die das Land unterstützen.
Die Angriffskampagne richtete sich gegen eine namentlich nicht genannte Organisation, die in regionalen Entwicklungs- und Wiederaufbauprojekten tätig ist. Sicherheitsexperten ordnen die Aktivität der Hackergruppe UAC-0050 (auch als DaVinci Group bekannt) zu. Das US-amerikanische Sicherheitsunternehmen BlueVoyant vergibt die Bezeichnung Mercenary Akula für diese Bedrohungsgruppe. Die Attacke wurde Anfang dieses Monats registriert.
“Die Angreifer gaben sich als ukrainische Justizdomäne aus und versendeten E-Mails mit Links zu einer Remote-Access-Malware”, berichteten die Sicherheitsforscher Patrick McHale und Joshua Green gegenüber The Hacker News. “Das Ziel war ein leitender Rechts- und Politikberater mit Verantwortung für Beschaffung – eine Position mit Zugang zu sensiblen Informationen über institutionelle Operationen und Finanzmechanismen.”
Den Anfang macht ein Spear-Phishing-E-Mail mit juristischen Bezügen, die Empfänger zum Download eines Archivs auffordert. Dieses ist auf PixelDrain gehostet, einem Datei-Sharing-Dienst, den die Angreifer nutzen, um reputationsbasierte Sicherheitskontrollen zu umgehen.
Die ZIP-Datei startet eine mehrstufige Infektionskette. Sie enthält ein RAR-Archiv mit einer passwortgeschützten 7-Zip-Datei, in der sich eine ausführbare Datei versteckt. Diese tarnt sich als PDF-Dokument – mit dem weit verbreiteten Trick der doppelten Dateiendung (.pdf.exe).
Die Ausführung führt zur Installation eines MSI-Installers für das Remote Manipulator System (RMS), eine russische Remote-Desktop-Software, die Fernzugriff, Desktop-Sharing und Dateiübertragungen ermöglicht.
“Der Einsatz solcher ‘Living-off-the-Land’-Tools verschafft Angreifern persistenten, versteckten Zugriff und umgeht oft traditionelle Antivirus-Erkennungen”, erklärten die Forscher.
Die RMS-Nutzung entspricht UAC-0050s etabliertem Modus Operandi. Die Gruppe ist dafür bekannt, legitime Remote-Access-Software wie LiteManager sowie Remote-Access-Trojaner wie RemcosRAT in Attacken gegen die Ukraine einzusetzen.
Ukraines Computer-Notfallteam (CERT-UA) charakterisiert UAC-0050 als Söldnergruppe mit Verbindungen zu russischen Strafverfolgungsbehörden. Sie führt Datenabschöpfung, Finanzdiebstahl sowie Desinformationskampagnen unter dem Namen Fire Cells durch.
“Dieser Angriff zeigt Mercenary Akulas bekanntes Angriffsmuster, offenbart aber auch eine bemerkenswerte Entwicklung”, stellte BlueVoyant fest. “Bislang konzentrierten sich ihre Operationen primär auf ukrainische Organisationen, besonders Buchhalter und Finanzbeamte. Dieser Vorfall deutet jedoch auf Sondierungsangriffe gegen Ukraine-unterstützende Institutionen in Westeuropa hin.”
Die Enthüllung folgt Berichten, wonach Russland cybergestützte Aufklärung gegen Ukraines Energieinfrastruktur verstärkt, um Raketeneinschläge zu leiten, statt sofort Störungen hervorzurufen.
Das Sicherheitsunternehmen CrowdStrike erwartet in seinem Jahresbericht, dass Akteure mit russischen Verbindungen aggressive Operationen zur Geheimdienstbeschaffung aus Ukraine und NATO-Staaten fortsetzen werden.
Dazu gehören Bemühungen von APT29 (Cozy Bear/Midnight Blizzard), gezielt Vertrauen und organisatorische Glaubwürdigkeit in Spear-Phishing-Kampagnen gegen amerikanische NGOs und Rechtseinrichtungen auszunutzen, um Microsoft-Konten zu kompromittieren.
“Cozy Bear gelang es, Personen zu kompromittieren oder nachzuahmen, zu denen die Ziele vertrauensvolle Geschäftsbeziehungen unterhielten”, so CrowdStrike. “Die nachgeahmten Personen stammten aus internationalen NGO-Niederlassungen und Pro-Ukraine-Organisationen.”
“Die Angreifer investierten erhebliche Ressourcen, um diese Nachahmungen glaubhaft zu gestalten – mit kompromittierten E-Mail-Konten und Wegwerf-Kommunikationskanälen zur Authentifizierungsverstärkung.”
Quelle: The Hacker News