Die mit Russland in Verbindung stehende Cyberkriminellen-Gruppe TA422 – auch bekannt als APT28, Forest Blizzard, Pawn Storm, Fancy Bear und BlueDelta – hat es vor allem auf Unternehmen der Luft- und Raumfahrtbranche, dem Bildungswesen, dem Finanzsektor, dem Technologiesektor und dem Fertigungsbereich abgesehen.
Zudem nimmt die Gruppe vor allem staatliche Stellen in Europa und Nordamerika ins Visier. Dabei setzten die Angreifer vor allem auf Phishing-Kampagnen mit einer Vielzahl an Nachrichten. Dies ist das Ergebnis einer neuen Untersuchung des Cybersicherheitsunternehmens Proofpoint, dessen Security-Experten seit März 2023 eine Reihe von Phishing-Aktivitäten von TA422 beobachten konnten. Die Cyberkriminellen machen sich bei ihren Kampagnen bekannte Schwachstellen zunutze, die noch nicht von allen IT-Abteilungen gepatcht wurden, und verschaffen sich so Zugang zu den Systemen ihrer Opfer.
Die wichtigsten Untersuchungsergebnisse
🔎 Registrierte Phishing-Aktivitäten von TA422 bzw APT28 zwischen März und November 2023 (Bild: Proofpoint).
Proofpoint-Experten haben umfangreiche Phishing-Aktivitäten beobachtet, bei denen TA422 Organisationen aus den Bereichen Luft- und Raumfahrt, Bildungswesen, Finanzwirtschaft, Fertigung und dem Technologiesektor sowie staatliche Einrichtungen in Europa und Nordamerika ins Visier nahm. Die Gruppe hat es mutmaßlich auf Benutzerdaten bzw. das Initiieren von Folgeaktivitäten abgesehen. ATP 28 hat zum Beispiel auch sofort die Outlook Zero-Day-Lücke (CVE-2023-23397) ausgenutzt.
Seit März 2023 konnte Proofpoint einen erheblichen Anstieg der versendeten E-Mails feststellen. Bei diesen Aktivitäten wurde unter anderem die Sicherheitslücke CVE-2023-23397 ausgenutzt – eine Schwachstelle in Microsoft Outlook, mit der erweiterte Berechtigungen erlangt werden können. Im Spätsommer 2023 haben die Cyberkriminellen mehr als 10.000 E-Mails verschickt, mit denen diese Schwachstelle ausgenutzt werden sollte. Auch eine WinRAR-Schwachstelle (CVE-2023-38831) machten sich die Täter zunutze. Bei den Absender-Adressen gaben sich die Täter als geopolitische Organisationen aus und griffen in den Betreffzeilen u.a. den BRICS-Gipfel sowie eine Sitzung des Europäischen Parlaments als Köder auf.
„Die russische APT-Gruppe TA422 hat den Missbrauch bekannter Schwachstellen mit umfangreichen E-Mail-Kampagnen fortgesetzt. Dabei zielen sie auf Behörden, die Rüstungs-, Luft- und Raumfahrtindustrie sowie auf Hochschulen in Europa und Nordamerika ab“, fasst Greg Lesnewich zusammen, Senior Threat Researcher bei Proofpoint. „Die Aktionen der Gruppe deuten darauf hin, dass sie versuchen, leicht zu infiltrierende Netzwerke zu entdecken, die von strategischem Interesse sind. Die in diesen Kampagnen verwendeten Payloads, Taktiken und Techniken belegen eine endgültige Abkehr von kompilierter Malware durch TA422, mit der sie sich üblicherweise dauerhaften Zugriff auf die Zielnetzwerke sicherten. Ziel scheint nun ein leichterer, auf Zugangsdaten ausgerichteten Zugriff zu sein.“
Bild1.png
Überblick über die Aktivitäten von TA422
Seit März 2023 konnten die Proofpoint-Experten beobachten, dass die russische APT-Gruppe TA422 bekannte, noch nicht von allen IT-Abteilungen gepatchte Schwachstellen ausnutzt, um eine Vielzahl von Organisationen in Europa und Nordamerika anzugreifen. Die Gruppe wird von den US-Geheimdiensten dem russischen Generalstabsdirektorat (GRU) zugeordnet. Während TA422 gewöhnliche zielgerichtete Aktivitäten durchführte und Mockbin und InfinityFree für die URL-Umleitung nutzte, kam es laut den Daten von Proofpoint zu einem signifikanten Anstieg bei der Anzahl an E-Mails, die CVE-2023-23397 ausnutzten, eine Schwachstelle in Microsoft Outlook.
Dazu gehörten mehr als 10.000 E-Mails, die die Angreifer von einem einzigen E-Mail-Anbieter an Unternehmen in den Bereichen Verteidigung, Luft- und Raumfahrt, Technologie und Fertigung sowie an staatliche Einrichtungen sendete. Kleinere Nachrichtenvolumen zielten auch auf Organisationen in den Bereichen Hochschulbildung, Bauwesen und Beratung ab. Die Forscher von Proofpoint identifizierten ferne Kampagnen von TA422, die eine WinRAR-Schwachstelle (CVE-2023-38831) zur Remote-Ausführung auszunutzen versuchten.
Mehr bei Proofpoint.com
Über Proofpoint Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.