Den Ausgangspunkt bildet eine Spear-Phishing-E-Mail mit juristischem Bezug. Bei dem Angriff wurde laut BlueVoyant eine ukrainische Justizdomain gefälscht, um eine Nachricht mit einem Link auf eine Schadsoftware zur Fernsteuerung zu verbreiten. Die Empfänger sollten ein Archiv herunterladen, das beim Filesharing-Dienst PixelDrain abgelegt war – einem Dienst, mit dem die Angreifer reputationsbasierte Sicherheitskontrollen umgehen.
Die ZIP-Datei stößt eine mehrstufige Infektionskette an. In ihr befindet sich ein RAR-Archiv, das wiederum eine passwortgeschützte 7-Zip-Datei enthält. Darin liegt eine ausführbare Datei, die sich über die häufig missbrauchte doppelte Dateiendung (*.pdf.exe) als PDF-Dokument tarnt.
Die Ausführung führt zur Installation eines MSI-Pakets für das Remote Manipulator System (RMS), eine russische Fernwartungssoftware für Fernsteuerung, Bildschirmfreigabe und Dateiübertragung. Der Einsatz solcher legitimer Werkzeuge – von den Forschern als “Living-off-the-Land”-Technik bezeichnet – verschaffe den Angreifern dauerhaften, unauffälligen Zugriff und umgehe häufig die klassische Antiviren-Erkennung.
Der Rückgriff auf RMS passt zum bekannten Vorgehen von UAC-0050. Bei Angriffen auf die Ukraine setzte die Gruppe zuvor legitime Fernzugriffssoftware wie LiteManager sowie Fernzugriffstrojaner wie RemcosRAT ein. Das Computer Emergency Response Team der Ukraine (CERT-UA) beschreibt UAC-0050 als Söldnergruppe mit Verbindungen zu russischen Strafverfolgungsbehörden, die unter der Bezeichnung Fire Cells Datensammlung, Finanzdiebstahl sowie informationelle und psychologische Operationen betreibt.
Nach Einschätzung von BlueVoyant spiegelt der Angriff das etablierte und sich wiederholende Vorgehen von Mercenary Akula wider, weist aber eine bemerkenswerte Neuerung auf: Die bisher überwiegend auf ukrainische Ziele – vor allem Buchhalter und Finanzverantwortliche – gerichteten Aktivitäten könnten sich nun auf die Ukraine unterstützende Einrichtungen in Westeuropa ausweiten.
Die Veröffentlichung fällt mit weiteren Erkenntnissen zu russischen Cyberoperationen zusammen. Wie The Record berichtet, teilte die Ukraine mit, dass russische Angriffe auf die Energieinfrastruktur des Landes zunehmend der Informationsbeschaffung zur Steuerung von Raketenangriffen dienen, statt den Betrieb unmittelbar zu stören.
Das Sicherheitsunternehmen CrowdStrike erwartet in seinem jährlichen Global Threat Report, dass russlandnahe Akteure ihre aggressiven Operationen zur Informationsbeschaffung gegen ukrainische Ziele und NATO-Mitgliedstaaten fortsetzen. Dazu zählen Aktivitäten von APT29 (auch Cozy Bear und Midnight Blizzard), die laut CrowdStrike in Spear-Phishing-Kampagnen gegen US-amerikanische Nichtregierungsorganisationen und eine US-Rechtseinrichtung systematisch Vertrauen, organisatorische Glaubwürdigkeit und Plattform-Legitimität ausnutzten, um sich Zugang zu den Microsoft-Konten der Opfer zu verschaffen. Cozy Bear habe dabei Personen kompromittiert oder imitiert, zu denen die Zielpersonen vertrauensvolle berufliche Beziehungen unterhielten – darunter Beschäftigte internationaler NGO-Niederlassungen und pro-ukrainischer Organisationen –, und für die Tarnung sowohl echte E-Mail-Konten kompromittierter Personen als auch Wegwerf-Kommunikationskanäle genutzt.
