Aktuelle Untersuchungen von Kaspersky zeigen, dass der Bedrohungsakteur hinter der CommonMagic-Kampagne seine schädlichen Aktivitäten ausweitet – sowohl regional als auch aus technischer Perspektive.
Demnach hat das neu entdeckte Framework ‚CloudWizard‘ seine Viktimologie auf Organisationen in der Zentral- und Westukraine ausgeweitet; bisher waren Unternehmen im russisch-ukrainischen Kriegsgebiet davon betroffen. Darüber hinaus konnten die Kaspersky-Experten den zunächst unbekannten Akteur mit früheren APT-Kampagnen wie Operation BugDrop und Operation Groundbait (Prikormka) in Verbindung bringen.
Bereits Im März dieses Jahres berichtete Kaspersky von einer neuen APT-Kampagne im russisch-ukrainischen Kriegsgebiet namens CommonMagic, die PowerMagic- und CommonMagic-Implantate zu Spionagezwecken nutzt. Die Kampagne ist seit September 2021 aktiv und setzt nun eine zuvor nicht identifizierte Malware ein, um Daten von den Zielpersonen zu sammeln.
Framework CloudWizard erstmalig entdeckt
Bei der nun entdeckten ATP-Kampagne wurde ein modulares Framework namens CloudWizard verwendet. Kaspersky identifizierte insgesamt neun Module innerhalb dieses Frameworks, die jeweils für bestimmte schädliche Aktivitäten wie das Sammeln von Dateien, Keylogging, die Erstellung von Screenshots, das Aufzeichnen von Mikrofonaufnahmen und Passwortdiebstahl verantwortlich sind. Eines dieser Module konzentriert sich auf das Exfiltrieren von Daten aus Gmail-Konten. Indem es Gmail-Cookies aus Browser-Datenbanken extrahiert, kann dieses Modul auf Aktivitätsprotokolle, Kontaktlisten und alle mit den Zielkonten verbundenen E-Mail-Nachrichten zugreifen.
Parallelen zwischen CloudWizard, Groundbait und BugDrop
Weitere Analysen der Sicherheitsexperten von Kaspersky zeigen zudem, dass die Kampagne inzwischen eine erweiterte Opferverteilung aufweist. Standen bisher vor allem die Regionen Donezk, Luhansk und die Krim im Visier, sind nun auch Einzelpersonen, diplomatische Einrichtungen und Forschungsorganisationen in der West- und Zentralukraine betroffen. Weiterhin konnten die Experten deutliche Übereinstimmungen zwischen CloudWizard und zwei zuvor dokumentierten Kampagnen identifizieren: Operation Groundbait und Operation BugDrop. Zu den Übereinstimmungen gehören Parallelen im Code, in der Benennung und Auflistung von Dateien, das Hosten durch ukrainische Hosting-Dienste und gemeinsame Opferprofile in der West- und Zentralukraine sowie in der Konfliktregion in Osteuropa.
Zudem weist CloudWizard auch gewisse Ähnlichkeiten mit der kürzlich entdeckten Kampagne CommonMagic auf. Einige Abschnitte des Codes sind identisch; beide verwenden dieselbe Verschlüsselungsbibliothek, folgen einem ähnlichen Dateibenennungsformat und haben gemeinsame Zielstandorte im osteuropäischen Konfliktgebiet.
Haben Sie kurz Zeit?
Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen! Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender. Hier geht es direkt zur UmfrageEine Gruppe – viele ähnliche Angriffskampagnen
Daraus schließen die Experten von Kaspersky, dass die schädlichen Kampagnen Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic und CloudWizard auf denselben aktiven Bedrohungsakteur zurückgeführt sind.
„Der für diese Angriffe verantwortliche Bedrohungsakteur setzt seine Cyberspionage-Aktivitäten konsequent fort, indem er sein Instrumentarium kontinuierlich verbessert und seit über fünfzehn Jahren zielgerichtet bestimmte, für ihn interessante Einrichtungen angreift“, erklärt Georgy Kucherin, Sicherheitsexperte beim Global Research & Analysis Team (GReAT) von Kaspersky. „Geopolitische Faktoren sind nach wie vor ein wichtiger Beweggrund für APT-Angriffe. Angesichts der vorherrschenden Spannungen im russisch-ukrainischen Konfliktgebiet gehen wir davon aus, dass dieser Akteur seine Operationen in absehbarer Zeit fortsetzen wird.“
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/