Microsoft hat eine Phishing-Kampagne des russischen Bedrohungsakteurs Storm-0978 identifiziert, die auf Verteidigungs- und Regierungsbehörden in Europa und Nordamerika abzielt. Es geht um Finanzdaten und Spionage bei der Attacke.
Storm-0978 (DEV-0978; von anderen Anbietern auch als RomCom, der Name ihrer Hintertür, bezeichnet) ist eine Cyberkriminelle-Gruppe mit Sitz in Russland, die dafür bekannt ist, opportunistische Ransomware- und Erpressungsoperationen sowie gezielte Anmeldedaten-Attacken durchzuführen. Storm-0978 betreibt, entwickelt und vertreibt die RomCom-Backdoor. Der Akteur setzt auch die Underground-Ransomware ein, die eng mit der Industrial Spy-Ransomware verwandt ist, die erstmals im Mai 2022 in freier Wildbahn beobachtet wurde. Die letzte im Juni 2023 entdeckte Kampagne des Akteurs beinhaltete den Missbrauch von CVE-2023-36884, um eine Hintertür mit Ähnlichkeiten zu RomCom bereitzustellen .
Russische Storm-0978 geht gezielt vor
Es ist bekannt, dass Storm-0978 Organisationen mit trojanisierten Versionen beliebter legitimer Software ins Visier nimmt, was zur Installation von RomCom führt. Die gezielten Operationen von Storm-0978 hatten Auswirkungen auf Regierungs- und Militärorganisationen vor allem in der Ukraine sowie auf Organisationen in Europa und Nordamerika, die möglicherweise in ukrainische Angelegenheiten verwickelt sind. Identifizierte Ransomware-Angriffe haben unter anderem die Telekommunikations- und Finanzbranche betroffen.
Storm-0978 Werkzeuge und TTPs
🔎 Storm-0978-E-Mails verwendeten Themen des Ukrainischen Weltkongresses und der NATO (Bild: Microsoft).
Storm-0978 verwendet trojanisierte Versionen beliebter, legitimer Software. Beobachtete Beispiele für trojanisierte Software sind Adobe-Produkte, Advanced IP Scanner, Solarwinds Network Performance Monitor, Solarwinds Orion, KeePass und Signal. Um die trojanisierten Installationsprogramme zur Bereitstellung bereitzustellen, registriert Storm-0978 in der Regel bösartige Domänen, die die legitime Software nachahmen (z. B. die bösartige Domäne advanced-ip-scaner[.]com ).
Bei finanziell motivierten Angriffen mit Ransomware nutzt Storm-0978 die Ransomware „Industrial Spy“ , eine Ransomware-Variante, die erstmals im Mai 2022 in freier Wildbahn beobachtet wurde, und die Ransomware „Underground“. Der Akteur hat auch die Trigona-Ransomware bei mindestens einem identifizierten Angriff eingesetzt.
Darüber hinaus hat Storm-0978 aufgrund der zugeschriebenen Phishing-Aktivitäten Exploits erworben, die auf Zero-Day-Schwachstellen abzielen. Zu den identifizierten Exploit-Aktivitäten gehört der Missbrauch von CVE-2023-36884 , einschließlich einer Sicherheitslücke zur Remotecodeausführung, die im Juni 2023 über Microsoft Word-Dokumente ausgenutzt wurde, sowie der Missbrauch von Sicherheitslücken, die zur Umgehung einer Sicherheitsfunktion beitragen.
Ransomware-Aktivität
Bei bekannten Ransomware-Einbrüchen hat Storm-0978 auf Anmeldeinformationen zugegriffen, indem es Passwort-Hashes vom Security Account Manager (SAM) über die Windows-Registrierung ausgegeben hat. Um auf SAM zuzugreifen, müssen Angreifer Berechtigungen auf SYSTEM-Ebene erwerben. Microsoft Defender für Endpunkt erkennt diese Art von Aktivität mit Warnungen wie „ Export der SAM-Registrierungsstruktur“. Storm-0978 nutzte dann die SMBExec- und WMIExec-Funktionalitäten des Impacket-Frameworks für die laterale Bewegung.
Microsoft hat Storm-0978 mit der früheren Verwaltung des Ransomware-Marktes Industrial Spy und Crypter in Verbindung gebracht. Allerdings begann Storm-0978 bereits im Juli 2023, eine Ransomware-Variante namens Underground zu verwenden, die erhebliche Codeüberschneidungen mit der Industrial Spy-Ransomware aufweist. Die Codeähnlichkeit zwischen den beiden Ransomware-Varianten sowie die frühere Beteiligung von Storm-0978 an Industrial Spy-Operationen könnten darauf hindeuten, dass es sich bei Underground um eine Umbenennung der Industrial Spy-Ransomware handelt.
Phishing-Kampagne im Juni 2023
Storm-0978 führte eine Phishing-Kampagne mit einem gefälschten OneDrive-Loader durch, um eine Hintertür mit Ähnlichkeiten zu RomCom einzuschleusen. Die Phishing-E-Mails waren an Verteidigungs- und Regierungsbehörden in Europa und Nordamerika gerichtet und enthielten Köder im Zusammenhang mit dem Ukrainischen Weltkongress. Diese E-Mails führten zu einer Ausnutzung der Schwachstelle CVE-2023-36884 .
Bemerkenswert ist, dass Microsoft während dieser Kampagne gleichzeitige, separate Storm-0978-Ransomware-Aktivitäten gegen ein unabhängiges Ziel identifizierte, die dieselben anfänglichen Payloads verwendeten. Die anschließende Ransomware-Aktivität gegen ein anderes Opferprofil unterstreicht die unterschiedlichen Motivationen, die bei Storm-0978-Angriffen beobachtet wurden.
Mehr bei Microsoft.com
Über Microsoft Deutschland Die Microsoft Deutschland GmbH wurde 1983 als deutsche Niederlassung der Microsoft Corporation (Redmond, U.S.A.) gegründet. Microsoft hat es sich zur Aufgabe gemacht, jede Person und jedes Unternehmen auf der Welt zu befähigen, mehr zu erreichen. Diese Herausforderung kann nur gemeinsam gemeistert werden, weshalb Diversität und Inklusion seit den Anfängen fest in der Unternehmenskultur verankert sind. Als weltweit führender Hersteller von produktiven Softwarelösungen und modernen Services im Zeitalter von intelligent Cloud und intelligent Edge, sowie als Entwickler innovativer Hardware, versteht sich Microsoft als Partner seiner Kunden, um diesen zu helfen, von der digitalen Transformation zu profitieren. Sicherheit und Datenschutz haben bei der Entwicklung von Lösungen oberste Priorität. Als weltweit größter Beitragsgeber treibt Microsoft die Open-Source-Technologie über seine führende Entwicklerplattform GitHub voran. Mit LinkedIn, dem größten Karriere-Netzwerk, fördert Microsoft die berufliche Vernetzung weltweit.