Der russische Geheimdienst zielt weltweit auf Opfer rasanter Cyberangriffe ab

Russische Staatshacker führen gezielte Phishing-Kampagnen in mindestens neun Ländern auf vier Kontinenten durch. Ihre E-Mails preisen offizielle Regierungsgeschäfte an und bedrohen im Erfolgsfall nicht nur sensible Unternehmensdaten, sondern auch geopolitische Informationen von strategischer Bedeutung.

Eine derart raffinierte, vielschichtige Verschwörung konnte nur von einer so produktiven Gruppe geschmiedet werden Fancy Bear (auch bekannt als APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 und noch viele weitere Aliase), die IBM X-Force als ITG05 verfolgt ein neuer Bericht.

Neben den überzeugenden Ködern zum Thema Regierung und drei neuen Varianten maßgeschneiderter Hintertüren zeichnet sich die Kampagne vor allem durch die Informationen aus, auf die sie abzielt: Fancy Bear scheint auf hochspezifische Informationen abzuzielen, die für die russische Regierung nützlich sind.

Phishing-Köder für die Regierung

Fancy Bear hat mindestens 11 einzigartige Köder in Kampagnen eingesetzt, die auf Organisationen in Argentinien, der Ukraine, Georgien, Weißrussland, Kasachstan, Polen, Armenien, Aserbaidschan und den Vereinigten Staaten abzielten.

Die Köder sehen aus wie offizielle Dokumente internationaler Regierungen und decken Themen wie Finanzen, kritische Infrastruktur, Engagements von Führungskräften, Cybersicherheit, maritime Sicherheit, Gesundheitswesen und verteidigungsindustrielle Produktion ab.

Bei einigen davon handelt es sich um legitime, öffentlich zugängliche Dokumente. Andere scheinen interessanterweise intern bei bestimmten Regierungsbehörden zu sein, was die Frage aufwirft, wie Fancy Bear überhaupt an sie gelangt ist.

„X-Force hat keine Erkenntnisse darüber, ob ITG05 die imitierten Organisationen erfolgreich kompromittiert hat“, bemerkt Claire Zaboeva, Bedrohungsjägerin bei IBM X-Force. „Da es möglich ist, dass ITG05 unbefugten Zugriff ausgenutzt hat, um interne Dokumente zu sammeln, haben wir im Rahmen unserer Richtlinie zur verantwortungsvollen Offenlegung alle nachgeahmten Parteien vor der Veröffentlichung über die Aktivität informiert.“

Alternativ könnte Fancy Bear/ITGO5 lediglich echte Dateien imitiert haben. „Zum Beispiel weisen einige der aufgedeckten Dokumente auffällige Fehler auf, etwa die falsche Schreibweise der Namen der Hauptparteien in scheinbar offiziellen Regierungsverträgen“, sagte sie.

Ein mögliches Motiv?

Eine weitere wichtige Eigenschaft dieser Köder ist, dass sie sehr spezifisch sind.

Zu den englischsprachigen Beispielen gehören ein Strategiepapier zur Cybersicherheit einer georgischen NGO und ein Reiseplan für Januar, in dem das Treffen und die Übung Bell Buoy (XBB2024) 24 für Teilnehmer der Pacific Indian Ocean Shipping Working Group (PACIOSWG) der US-Marine detailliert beschrieben wird.

Und da sind die Lockmittel zum Thema Finanzen: ein belarussisches Dokument mit Empfehlungen zur Schaffung kommerzieller Bedingungen zur Erleichterung zwischenstaatlicher Unternehmen bis 2025 im Einklang mit einer Initiative der Eurasischen Wirtschaftsunion, ein Dokument zur Haushaltspolitik des argentinischen Wirtschaftsministeriums, das „strategische Leitlinien“ für die Unterstützung bietet Präsident mit nationaler Wirtschaftspolitik und mehr in dieser Richtung.

„Angesichts des etablierten Missionsraums von ITG05 ist die Sammlung sensibler Informationen zu Budgetbedenken und der Sicherheitslage globaler Unternehmen wahrscheinlich ein Ziel mit hoher Priorität“, sagte X-Force in seinem Bericht über die Kampagne.

Argentinien beispielsweise lehnte kürzlich eine Einladung zum Beitritt zur Handelsorganisation BRICS (Brasilien, Russland, Indien, China, Südafrika) ab, daher „ist es möglich, dass ITG05 einen Zugang anstrebt, der Einblick in die Prioritäten der argentinischen Regierung geben könnte.“ „, sagte X-Force.

Aktivitäten nach der Ausbeutung

Neben der Spezifität und dem Anschein von Legitimität nutzen die Angreifer einen weiteren psychologischen Trick, um Opfer in die Falle zu locken: Sie präsentieren ihnen zunächst nur eine unscharfe Version des Dokuments. Wie in der Abbildung unten können Empfänger gerade genug Details sehen, um zu erkennen, dass diese Dokumente offiziell und wichtig erscheinen, aber nicht genug, um zu vermeiden, dass sie darauf klicken müssen.

Beispiel eines Köderdokuments; Quelle: IBM

Wenn Opfer auf von Angreifern kontrollierten Websites klicken, um die Lockdokumente anzuzeigen, laden sie eine Python-Hintertür namens „Masepie“ herunter. Es wurde erstmals im Dezember entdeckt und ist in der Lage, eine Persistenz auf einem Windows-Computer herzustellen und das Herunterladen und Hochladen von Dateien sowie die Ausführung beliebiger Befehle zu ermöglichen.

Eine der Dateien, die Masepie auf infizierte Computer herunterlädt, ist „Oceanmap“, ein C#-basiertes Tool zur Befehlsausführung über das Internet Message Access Protocol (IMAP). Die ursprüngliche Variante von Oceanmap – nicht die hier verwendete – verfügte über Funktionen zum Informationsdiebstahl, die inzwischen entfernt und auf „Steelhook“ übertragen wurden, die andere von Masepie heruntergeladene Nutzlast im Zusammenhang mit dieser Kampagne.

Steelhook ist ein PowerShell-Skript, dessen Aufgabe es ist, Daten aus Google Chrome und Microsoft Edge über einen Webhook zu extrahieren.

Bemerkenswerter als die Malware ist die Unmittelbarkeit von Fancy Bear. Als zuerst beschrieben Durch das ukrainische Computer Emergency Response Team (CERT-UA) infiziert Fancy Bear bereits in der ersten Stunde nach der Landung auf dem Computer des Opfers, lädt Hintertüren herunter und führt Aufklärung und laterale Bewegungen über gestohlene NTLMv2-Hashes für Weiterleitungsangriffe durch.

Potenzielle Opfer müssen also schnell handeln oder, noch besser, sich im Voraus auf ihre Infektionen vorbereiten. Sie können dies tun, indem sie die zahlreichen Empfehlungen von IBM befolgen: Überwachung auf E-Mails mit URLs, die vom Hosting-Anbieter FirstCloudIT von Fancy Bear bereitgestellt werden, und auf verdächtigen IMAP-Verkehr zu unbekannten Servern, Behebung der bevorzugten Schwachstellen – wie CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 – und vieles mehr.

„ITG05 wird weiterhin Angriffe gegen Regierungen der Welt und ihren politischen Apparat nutzen, um Russland umfassende Einblicke in kommende politische Entscheidungen zu verschaffen“, schlussfolgerten die Forscher.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks