Russland-Ukraine-Krieg: Komplexe Cyberspionage 

Russland-Ukraine-Krieg: Komplexe Cyberspionage 

Beitrag teilen

Der Krieg in der Ukraine ist auch ein Cyberkrieg der Cyberspionage forciert. Bitdefender Labs stellen aktuelle Angriffe des Elephant-Frameworks fest. Weiterhin finden auch Angriffe statt durch Phishing mit Download vermeintlicher Bitdefender-AV-Software. Eine Zusammenfassung der aktuellen Cyberspionage.

Unternehmen in dem angegriffenen Land oder in unterstützenden Nationen mit Verbindung in die Ukraine sind von klassischen IT-Angriffsmechanismen bedroht, deren Urheber diesmal politisch motiviert sind. Zu diesen gehört neben dem Löschen von Informationen die Spionage. Die Bitdefender Labs haben die dafür verwendeten anspruchsvollen Angriffsmechanismen des sogenannten Elephant Framework analysiert.

Cyberkrieg verschlechtert weltweite Cybersicherheitslage

Threat-Intelligence-Experten und Analysten von Managed-Detection-and-Response-Teams haben seit Ausbruch des Krieges die Cybersicherheitslage beobachtet. Unternehmen und Organisationen in der Ukraine, insbesondere im Bereich Behörden und Kritische Infrastrukturen, sind wie zu erwarten unter den bevorzugten Opfern. Seit März 2021 betreibt etwa die pro-russische UAC-0056-Gruppe aktiv Cyberspionage. Die Gruppe – ebenfalls bekannt unter den Namen Lorec53, UNC2589, EmberBear, LorecBear, BleedingBear, SaintBear und TA471 – ist verantwortlich für Angriffe zur Datenexfiltration mit Stealer Malware wie OutSteel oder GraphSteel. Vor allem GraphSteel wendet ein anspruchsvolles Instrumentarium von Techniken an, um Passwörter zu erfahren oder Informationen in den weitverbreiteten Office-Formaten wie .docx oder .xlsx und anderen wichtigen Datentypen wie .ssh, .crt, .key, .ovpn, oder .json zu exfiltrieren.

GraphSteel –  Teil des Elephant-Frameworks

Die Komplexität und Professionalität solcher Angriffe belegen Angriffe mit GraphSteel, deren Urheber höchstwahrscheinlich aus dem Umfeld der UAC-0056-Gruppe stammen. Die GraphSteel-Malware ist Teil des Elephant-Frameworks, einem in der Programmiersprache Go verfassten Malware-Toolset. Die Angreifer setzten sie jüngst in einer Reihe von Phishing-Attacken auf ukrainische Regierungsbehörden (gov.ua-Ziele) ein.

Zunächst begannen sie mit einer anspruchsvollen Spearphishing-Attacke. Die Hacker legten eine hohe Expertise bei Social-Engineering-Angriffen an den Tag und nutzten gespoofte ukrainische E-Mail-Adressen. Inhalte der gefälschten Mails waren vermeintliche offizielle Bekanntmachungen oder Themen rund um Corona. In einer Mail warnte der vermeintliche Autor vor einer Zunahme von russischen Cyberangriffen, gab Sicherheitstipps und verwies auf einen vermeintlichen Download einer Bitdefender-Software. Die Opfer kompromittierten ihre Rechner entweder durch einen Klick auf einen Link im Mailtext oder durch das Öffnen einer Excel-Tabelle mit eingebetteten Macros.

Launcher – gefährliches Python-Script

Als Launcher verwenden die Hacker in einigen Fällen ein Python-Script, welches zu einer ausführenden Datei konvertiert worden war. In anderen Fällen verfassten sie den Code – wie im gesamten Elephant-Framework – in der Programmiersprache Go. Bei der Entscheidung spielte vielleicht eine Rolle, dass nicht jede Sicherheitssoftware eine in Go verfasste Malware erkennt. Dies wiederum liegt wohl darin begründet, dass gut- wie böswillige Programmierer Go nicht oft verwenden. Ein weiterer Vorteil der Sprache für die Hacker ist aber, dass der Payload sowohl für Windows wie für Linux kompiliert werden kann, ohne den Code zu ändern. Außerdem ist er einfach anzuwenden und lässt sich um Module von Drittanbieter-Malware erweitern. Der Launcher dient dann als eine Kombination von Downloader oder Dropper und verbindet das Opfer-System mit dem Command-and-Control-Server, um die eigene Verfügbarkeit mitzuteilen und zum gegebenem Zeitpunkt einen ausführbaren Malware-Payload zu empfangen.

Downloader – transportiert Malware

🔎 Typischer Verlauf eines Angriff auf Basis des Elephant Framework (Bild: Bitdefender).

Der Downloader lädt dann zwei verschiedene Malware-Dateien: GraphSteel (Microsoft-cortana.exe) und GrimPlant (Oracle-java.exe), die sich beide automatisch ausführen. GrimPlant erlaubt es, remote PowerShell-Kommandos auszuführen. GraphSteel entwendet Daten wie Zugangsdaten, Zertifikate, Passwörter oder andere sensible Informationen.

GraphSteel Stealer

Hauptzweck von GraphSteel ist die Exfiltration von Dateien, welche die Malware dann verschlüsselt mit AES Cipher über Port 442 überträgt. Für die Kommunikation mit dem Command-and-Control-Server nutzt das Tool Websockets und die GraphQL-Sprache. Der Stealer entwendet Zugangsdaten für Wifi, Chrome, Firefox sowie Daten aus den Passwort-Vaults, dem Windows Credential Manager oder SSH-Sessions und Thunderbird.

Vermeintlich im Namen von Bitdefender

🔎 Parallele Angriffe mit zwei Payloads nach Download der als Bitdefender-AV-Software getarnten Malware (Bild: Bitdefender).

Laut einem Eintrag vom 11. März 2022 im CERT-UA nutzen andere Angriffe aus dem UAC-0056-Umfeld dringende Appelle, die IT-Sicherheit zu erhöhen und ein vermeintliches Bitdefender-Antivirus-Produkt von einer vermeintlichen Bitdefender.fr-Seite herunterzuladen, für ihre Angriffe aus. Hinter Bitdefender.fr verbirgt sich aber die Domain forkscenter.fr mit einer gespooften Bitdefender.fr-Webseite.

Diese Attacke installiert zunächst einen Discord-Downloader, der dann zwei ausführbare Dateien implementiert: Zum einem Alt.exe, einen bekannten Go-Launcher, der das Elephant Framework herunterlädt, zum anderen One.Exe, einen Cobalt Strike Beacon. Am Ende wird im letzteren Fall eine cesdf.exe heruntergeladen, die leider zurzeit nicht für eine Analyse vorliegt, weil die Administratoren der angegriffenen Organisation ihren Server mittlerweile abgeschaltet haben.

Derart komplexe Angriffe abzuwehren, erfordert eine gestaffelte Cyber-Sicherheit, die einen Angriff während mehrerer Phasen abwehren kann: Schon beim Abblocken der Phishing-Mail, beim Ausführen des Payloads oder beim Unterbinden der weiteren Kompromittierung und bei der Kommunikation mit dem C-&-C-Server.

Mehr bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

IT-Sicherheit: NIS-2 macht sie zur Chefsache

Nur bei einem Viertel der deutschen Unternehmen übernimmt die Geschäftsführung die Verantwortung für die IT-Sicherheit. Vor allem in kleineren Unternehmen ➡ Weiterlesen

Anstieg der Cyberangriffe um 104 Prozent in 2023

Ein Unternehmen für Cybersicherheit hat die Bedrohungslandschaft des letzten Jahres unter die Lupe genommen. Die Ergebnisse bieten entscheidende Einblicke in ➡ Weiterlesen

Mobile Spyware ist eine Gefahr für Unternehmen

Sowohl im Alltag als auch in Unternehmen nutzen immer mehr Menschen mobile Geräte. Dadurch nimmt auch die Gefahr von "Mobil ➡ Weiterlesen

Crowdsourced Security lokalisiert viele Schwachstellen

Crowdsourced Security hat im letzten Jahr stark zugenommen. Im öffentlichen Bereich wurden 151 Prozent mehr Schwachstellen gemeldet als im Vorjahr. ➡ Weiterlesen

Digitale Sicherheit: Verbraucher vertrauen Banken am meisten

Eine Umfrage zum digitalen Vertrauen zeigte, dass Banken, das Gesundheitswesen und Behörden das meiste Vertrauen der Verbraucher genießen. Die Medien- ➡ Weiterlesen

Stellenbörse Darknet: Hacker suchen abtrünnige Insider

Das Darknet ist nicht nur eine Umschlagbörse für illegale Waren, sondern auch ein Ort, an dem Hacker neue Komplizen suchen ➡ Weiterlesen

Solarenergieanlagen – wie sicher sind sie?

Eine Studie hat die IT-Sicherheit von Solarenergieanlagen untersucht. Probleme bereiten fehlende Verschlüsselung bei der Datenübertragung, Standardpasswörter und unsichere Firmware-Updates. Trend ➡ Weiterlesen

Neue Phishing-Welle: Angreifer nutzen Adobe InDesign

Aktuell zeigt sich ein Anstieg von Phishing-Attacken, die Adobe InDesign missbrauchen, ein bekanntes und vertrauenswürdiges System zur Veröffentlichung von Dokumenten. ➡ Weiterlesen