Das Sicherheitsteam von Cisco Talos unterstützt ukrainische Organisationen bei der Abwehr von Cyberangriffen. Dabei sind die Forscher auf eine neue Malware-Kampagne gestoßen, die auf Behörden, Betreiber kritischer Infrastrukturen sowie Organisationen aus den Bereichen Verteidigung, Sicherheit und Strafvollzug in der Ukraine abzielt. Nach Erkenntnissen der Sicherheitsforscher steht hinter dieser Kampagne die pro-russische Hackergruppe Gamaredon. Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland, erläutert die Hintergründe:
Wie laufen die aktuellen Malware-Angriffe ab?
„Die Kampagne ist seit August 2022 aktiv und fokussiert sich auf Datendiebstahl und Spionage. Um einen langfristigen Zugang zu Opfer-Systemen zu erhalten, nutzen die Bedrohungsakteure präparierte Phishing-Dokumente. Diese geben vor, Informationen zu enthalten, die sich auf die russische Invasion in der Ukraine beziehen. Tatsächlich verbergen sie allerdings Remote-Vorlagen mit bösartigen Makros. Deren Aufgabe ist es, Malware auf den Computern der Opfer zu platzieren, um dann gezielt Informationen zu exfiltrieren.“
Was macht diese Angriffsmethode besonders gefährlich?
„Die Akteure nutzen in diesem Fall einen speziell angefertigten „Information Stealer“. Dabei handelt es sich um eine Malware mit doppeltem Anwendungsbereich. Zum einen ist er in der Lage, die für den Angreifer besonders interessanten Dateitypen zu stehlen. Zum anderen lassen sich über ihn gezielt zusätzliche Nutzlasten auf infizierten Rechnern platzieren.“
Talos erkennt bei diesem Angriff die Handschrift der Hackergruppe Gamaredon. Warum?
„Wir sehen große Übereinstimmungen der eingesetzten Taktiken, Techniken, Malware und Infrastruktur mit Angriffen, die vom CERT-UA, also dem Computer Emergency Response Team der Ukraine, aufgedeckt und Gamaredon zugeschrieben wurden.“
Was wissen wir über Gamaredon?
„Die Gruppe ist ein Bedrohungsakteur, der mindestens seit 2013 aktiv ist und über die Jahre hinweg immer wieder mit pro-russischen Aktivitäten in Verbindung gebracht wurde. Gamaredon ist äußerst aggressiv, macht jedoch normalerweise nicht mit öffentlichkeitswirksamen Kampagnen auf sich aufmerksam. Unserer Einschätzung nach ist die Gruppe jedoch mit einigen der produktivsten Crimeware-Banden gleichzusetzen. Interessanterweise entspricht ihr Vorgehen nicht dessen, was man von einer fortschrittlichen Hackergruppe erwarten würde. Solche „APT“ genannten Gruppen fokussieren sich auf gezielte, hochwirksame Aktivitäten, die nur extrem geringe Spuren hinterlassen und daher nur schwer zu erkennen sind. Gamaredon ist das genaue Gegenteil davon. Die Gruppe verwendet gängige Taktiken aus der Welt der Crimeware und ist für einen Bedrohungsakteur extrem „laut“. Auch fehlen Gamaredon die ausgefeilten Techniken, die wir bei einigen fortschrittlichen Operationen sehen. Allerdings verfügt sie über eine extrem breite Infrastruktur und kontrolliert mehr als 600 Domänen, die sie an verschiedenen Punkten der Infektionszeitlinie einsetzt.“
Wie gefährlich ist die Gruppe für deutsche Unternehmen?
„Durch das spezifische Vorgehen der Gruppe ist diese Frage nur schwierig zu beantworten. Bislang sehen wir keine Anzeichen dafür, dass die Gruppe von den Informationen ihrer Opfer direkt profitiert. Wir schließen daher die Möglichkeit nicht aus, dass sie als Dienstleister im Auftrag anderer APT-Akteure fungiert. Und noch eine Besonderheit: Im Gegensatz zur üblichen Vorgehensweise von APTs visiert Gamaredon keine spezifische Opfergruppe an, sondern zielt stattdessen auf Nutzer in der ganzen Welt ab. Diese Gruppe hat es auf jeden abgesehen, von Banken in Afrika bis hin zu Bildungseinrichtungen in den USA. Und spätestens hier sollten auch Unternehmen und Institutionen in Deutschland auf der Hut sein.“
Details zu den Erkenntnissen der Talos-Sicherheitsforscher finden Sie in diesen Blogbeiträgen:
