Die russische Bedrohungsgruppe Fighting Ursa alias APT28 hat im März 2024 ein Inserat zum Verkauf eines Autos dazu benutzt, um die Backdoor-Malware HeadLace zu verbreiten. Ziel des Angriffs waren wahrscheinlich Diplomaten.
Das Unit 42-Team von Palo Alto Networks hat einen neuen Forschungsbericht veröffentlicht, der aufzeigt, welchen konkreten Phishing-Trick der von Russland unterstützte Bedrohungsakteur „Fighting Ursa“ (auch bekannt als „APT28“ oder „Fancy Bear“) zum Angriff auf Diplomaten nutzt.
Speziell geht es um den Verkauf eines Autos als Phishing-Köder zur Verbreitung der Backdoor-Malware HeadLace. Fighting Ursa wird mit dem russischen Militärgeheimdienst in Verbindung gebracht und als fortschrittliche dauerhafte Bedrohung (advanced persistent threat, APT) eingestuft.
Anzeigen für Autoverkauf schon früher genutzt
Schon seit Jahren nutzen russische Bedrohungsakteure erfolgreich vermeintliche Autoverkauf-Inserate, um Diplomaten dazu zu verleiten, auf bösartige Inhalte zu klicken. Die Bedrohungsakteure „Cloaked Ursa“ missbrauchten 2023 beispielsweise eine Verkaufsanzeige für einen BMW, um diplomatische Einrichtungen in der Ukraine anzugreifen. Diese Kampagne steht zwar nicht in direktem Zusammenhang mit der aktuellen Kampagne, weist jedoch auf bekannte Verhaltensweisen von Fighting Ursa hin: Die Gruppe greift erfolgreiche Taktiken immer wieder auf und nutzt sogar bekannte Schwachstellen noch bis zu 20 Monate aus, nachdem ihre Tarnung aufgeflogen ist.
Direkt zum Bericht auf PaloAltoNetworks.com
Über Palo Alto Networks Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.