Ukraine-Krieg: APT-Kampagne CommonMagic weitet sich aus

Kaspersky_news

Beitrag teilen

Aktuelle Untersuchungen von Kaspersky zeigen, dass der Bedrohungsakteur hinter der CommonMagic-Kampagne seine schädlichen Aktivitäten ausweitet – sowohl regional als auch aus technischer Perspektive. 

Demnach hat das neu entdeckte Framework ‚CloudWizard‘ seine Viktimologie auf Organisationen in der Zentral- und Westukraine ausgeweitet; bisher waren Unternehmen im russisch-ukrainischen Kriegsgebiet davon betroffen. Darüber hinaus konnten die Kaspersky-Experten den zunächst unbekannten Akteur mit früheren APT-Kampagnen wie Operation BugDrop und Operation Groundbait (Prikormka) in Verbindung bringen.

Bereits Im März dieses Jahres berichtete Kaspersky von einer neuen APT-Kampagne im russisch-ukrainischen Kriegsgebiet namens CommonMagic, die PowerMagic- und CommonMagic-Implantate zu Spionagezwecken nutzt. Die Kampagne ist seit September 2021 aktiv und setzt nun eine zuvor nicht identifizierte Malware ein, um Daten von den Zielpersonen zu sammeln.

Framework CloudWizard erstmalig entdeckt

Bei der nun entdeckten ATP-Kampagne wurde ein modulares Framework namens CloudWizard verwendet. Kaspersky identifizierte insgesamt neun Module innerhalb dieses Frameworks, die jeweils für bestimmte schädliche Aktivitäten wie das Sammeln von Dateien, Keylogging, die Erstellung von Screenshots, das Aufzeichnen von Mikrofonaufnahmen und Passwortdiebstahl verantwortlich sind. Eines dieser Module konzentriert sich auf das Exfiltrieren von Daten aus Gmail-Konten. Indem es Gmail-Cookies aus Browser-Datenbanken extrahiert, kann dieses Modul auf Aktivitätsprotokolle, Kontaktlisten und alle mit den Zielkonten verbundenen E-Mail-Nachrichten zugreifen.

Parallelen zwischen CloudWizard, Groundbait und BugDrop

Weitere Analysen der Sicherheitsexperten von Kaspersky zeigen zudem, dass die Kampagne inzwischen eine erweiterte Opferverteilung aufweist. Standen bisher vor allem die Regionen Donezk, Luhansk und die Krim im Visier, sind nun auch Einzelpersonen, diplomatische Einrichtungen und Forschungsorganisationen in der West- und Zentralukraine betroffen. Weiterhin konnten die Experten deutliche Übereinstimmungen zwischen CloudWizard und zwei zuvor dokumentierten Kampagnen identifizieren: Operation Groundbait und Operation BugDrop. Zu den Übereinstimmungen gehören Parallelen im Code, in der Benennung und Auflistung von Dateien, das Hosten durch ukrainische Hosting-Dienste und gemeinsame Opferprofile in der West- und Zentralukraine sowie in der Konfliktregion in Osteuropa.

Zudem weist CloudWizard auch gewisse Ähnlichkeiten mit der kürzlich entdeckten Kampagne CommonMagic auf. Einige Abschnitte des Codes sind identisch; beide verwenden dieselbe Verschlüsselungsbibliothek, folgen einem ähnlichen Dateibenennungsformat und haben gemeinsame Zielstandorte im osteuropäischen Konfliktgebiet.

Haben Sie kurz Zeit?

Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen!

Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender.

Hier geht es direkt zur Umfrage
 

Eine Gruppe – viele ähnliche Angriffskampagnen

Daraus schließen die Experten von Kaspersky, dass die schädlichen Kampagnen Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic und CloudWizard auf denselben aktiven Bedrohungsakteur zurückgeführt sind.

„Der für diese Angriffe verantwortliche Bedrohungsakteur setzt seine Cyberspionage-Aktivitäten konsequent fort, indem er sein Instrumentarium kontinuierlich verbessert und seit über fünfzehn Jahren zielgerichtet bestimmte, für ihn interessante Einrichtungen angreift“, erklärt Georgy Kucherin, Sicherheitsexperte beim Global Research & Analysis Team (GReAT) von Kaspersky. „Geopolitische Faktoren sind nach wie vor ein wichtiger Beweggrund für APT-Angriffe. Angesichts der vorherrschenden Spannungen im russisch-ukrainischen Konfliktgebiet gehen wir davon aus, dass dieser Akteur seine Operationen in absehbarer Zeit fortsetzen wird.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Forensik realer Cyberangriffe lüftet Taktiken der Angreifer

Detaillierte Untersuchung der vom Sophos Incident Response Team übernommen Fälle macht deutlich, dass Angreifer immer kürzer im infiltrierten Netzwerk verweilen, ➡ Weiterlesen

Ransomware-Gruppe 8base bedroht KMUs

8base ist eine der aktivsten Ransomware-Gruppen. Sie fokussierte sich in diesem Sommer auf kleine und mittlere Unternehmen. Durch niedrige Sicherheitsbudgets ➡ Weiterlesen

ALPHV: Casinos und Hotels in Las Vegas per Hack lahmgelegt

MGM Resorts, ein US-amerikanischer Betreiber von Hotels und Spielcasinos, wurde vor kurzem von einem Ransomware-Angriff heimgesucht, der mehrere Systeme an ➡ Weiterlesen

Cyberbedrohung: Rhysida-Ransomware

Taktiken und Techniken der Rhysida-Ransomware ähneln denen der berüchtigten Ransomware-Bande Vice Society. Experten vermuten, dass Vice Society eine eigene Variante ➡ Weiterlesen

Gastgewerbe: Angriffe auf Buchungsplattform

Cyberkriminelle stahlen die Kreditkartendaten, persönliche Daten und Passwörter der Kunden der Gaststätten-Buchungsplattform IRM-NG. Bitdefender hat aktuelle Forschungsergebnisse einer derzeit laufenden ➡ Weiterlesen

In Post-Quanten-Kryptografie investieren

Schon jetzt setzt Google in seiner aktuellsten Version des Chrome Browsers auf ein quantensicheres Verschlüsselungsverfahren (Post-Quanten-Kryptografie). Unternehmen sollten das ebenfalls ➡ Weiterlesen

Veraltete Systeme: Cyberangriffe auf Gesundheitseinrichtungen

Weltweit waren 78 Prozent der Gesundheitseinrichtungen im letzten Jahr von Cybervorfällen betroffen. Jeder vierte Cyberangriff auf Gesundheitseinrichtungen in Deutschland hat ➡ Weiterlesen

Report: Weltweiter Anstieg der Cyber-Angriffe

Stärkster Anstieg von Cyber-Angriffen in den letzten zwei Jahren. Lockbit3 ist der Spitzenreiter unter den Ransomwares in der ersten Jahreshälfte ➡ Weiterlesen