CERT-UA zufolge hat Sandworm in diesem Frühjahr und Sommer seinen Ansatz für den Erstzugang zu Systemen ukrainischer Ziele verändert. Im Zentrum steht dabei eine Social-Engineering-Methode namens ClickFix. Nutzer werden auf kompromittierte Websites gelockt, auf denen eine gefälschte CAPTCHA-Prüfung erscheint. Die Eingabeaufforderung dient jedoch nicht der Verifikation, sondern soll die Opfer dazu bringen, selbst einen PowerShell-Befehl auf ihrem Windows-Rechner auszuführen.
Dieser Befehl lädt nach Angaben von CERT-UA zunächst eine Schadsoftware mit dem Namen GhettoVibe herunter. Sie verschafft den Angreifern anhaltenden Zugriff auf das kompromittierte System und schafft die Grundlage, später weitere schädliche Werkzeuge nachzuladen. Als nachgelagerte Komponente beobachteten die Forscher außerdem ScoutCurl, ein Aufklärungswerkzeug, das Informationen über das infizierte Gerät sammelt. Dazu zählen Systemdetails, installierte Software, Dateien und Browser-Daten. So können die Angreifer laut CERT-UA einschätzen, ob sich eine weitergehende Kompromittierung lohnt.
Darüber hinaus dokumentierte CERT-UA zwei Loader: FluidLeech und LoadLoop. FluidLeech tarnte sich demnach als Software zum Entfernen von Antivirenprogrammen. Die Behörde erklärte, sie habe die ClickFix-Technik im Juni und Juli auf mehr als zehn kompromittierten Websites gesehen. Eine Zahl betroffener Endgeräte nannte sie nicht.
Trotz der stärkeren Nutzung von ClickFix greift Sandworm laut CERT-UA weiterhin auf bekannte Täuschungsmethoden zurück. Die Behörde warnte unter anderem vor Angriffen auf Android-Geräte mit Schadsoftware, die als Sicherheitsanwendungen getarnt und über Messaging-Apps verteilt wird. Nach der Installation kann diese Malware unbemerkt Kontakte, Dateien, Geräteinformationen und Standortdaten in Echtzeit sammeln.
Über Jahre gehörte es laut CERT-UA zu den wichtigsten Taktiken der Gruppe, manipulierte Installationspakete für Microsoft Windows und Office über Torrent-Seiten zu verbreiten. Wer solche raubkopierten Programme herunterlud, konnte so unbemerkt kompromittiert werden. In mindestens einem Fall, so die Behörde, ermöglichte eine solche Infektion den Angreifern den ersten Zugriff auf ein ukrainisches Regierungsnetzwerk, bevor sie einen destruktiven Cyberangriff auf eine zentrale Exekutivbehörde starteten.
Auch der Messenger Signal spielt in Sandworms Vorgehen während des russischen Kriegs gegen die Ukraine laut CERT-UA weiter eine Rolle. Die Hacker versuchten demnach, Ziele zur Installation gefälschter Antivirensoftware zu bewegen. Häufig hätten sie über Wochen Vertrauen bei Militärangehörigen und anderen Zielpersonen aufgebaut, bevor sie diese zum Ausführen schädlicher Dateien aufforderten. Teilweise sei sogar Geld dafür angeboten worden, den Anweisungen zu folgen.
Sandworm wird von westlichen Regierungen und Cybersicherheitsforschern mit dem russischen Militärgeheimdienst GRU in Verbindung gebracht. Die Gruppe ist seit mindestens 2013 aktiv und wird für einige der bekanntesten destruktiven Cyberangriffe Russlands verantwortlich gemacht, darunter Attacken auf das ukrainische Stromnetz.
