Eine wachsende Zahl von Bedrohungsakteuren nutzt den anhaltenden russisch-ukrainischen Krieg als Köder für verschiedene Phishing- und Malware-Kampagnen, auch wenn kritische Infrastrukturen weiterhin stark ins Visier genommen werden.
„Von der Regierung unterstützte Akteure aus China, dem Iran, Nordkorea und Russland sowie verschiedene nicht näher bezeichnete Gruppen haben verschiedene Themen im Zusammenhang mit dem Ukraine-Krieg genutzt, um Ziele dazu zu bringen, bösartige E-Mails zu öffnen oder auf bösartige Links zu klicken“, so Billy Leonard von der Google Threat Analysis Group (TAG) in einem Bericht.
„Finanziell motivierte und kriminelle Akteure nutzen auch aktuelle Ereignisse, um Nutzer ins Visier zu nehmen“, so Leonard weiter.
Ein bemerkenswerter Bedrohungsakteur ist Curious Gorge, den die TAG der China People’s Liberation Army Strategic Support Force (PLA SSF) zurechnet und bei dem Angriffe auf Regierungs-, Militär-, Logistik- und Produktionsunternehmen in der Ukraine, Russland und Zentralasien beobachtet wurden.
Die Angriffe auf Russland richteten sich gegen mehrere Regierungsstellen, wie das Außenministerium, und weitere Angriffe betrafen russische Rüstungsunternehmen und Hersteller sowie ein nicht genanntes Logistikunternehmen.
Die Erkenntnisse folgen auf die Enthüllungen, dass ein mit China verbundener, von der Regierung gesponserter Bedrohungsakteur namens Mustang Panda (auch bekannt als Bronze President) mit einer aktualisierten Version eines Remote-Access-Trojaners namens PlugX auf russische Regierungsbeamte abzielte.
Bei einer anderen Reihe von Phishing-Angriffen hatten es die Hacker von APT28 (auch bekannt als Fancy Bear) mit einer .NET-Malware auf ukrainische Nutzer abgesehen, die in der Lage ist, Cookies und Passwörter von Chrome-, Edge- und Firefox-Browsern zu stehlen.
Auch russische Hackergruppen wie Turla (auch bekannt als Venomous Bear) und COLDRIVER (auch bekannt als Calisto) sowie eine weißrussische Hackergruppe namens Ghostwriter waren an verschiedenen Phishing-Kampagnen beteiligt, die sich gegen Verteidigungs- und Cybersecurity-Organisationen in der baltischen Region und gefährdete Personen in der Ukraine richteten.
Bei den jüngsten Angriffen von Ghostwriter wurden die Opfer auf kompromittierte Websites geleitet, von wo aus sie auf eine von den Angreifern kontrollierte Webseite weitergeleitet wurden, um ihre Anmeldedaten zu sammeln.
In einer anderen Phishing-Kampagne, die auf Einrichtungen in osteuropäischen Ländern abzielte, wurde eine bisher unbekannte und finanziell motivierte Hackergruppe entdeckt, die sich als russische Agentur ausgab, um eine JavaScript-Backdoor namens DarkWatchman auf infizierten Computern zu installieren.
IBM Security X-Force brachte die Eindringlinge mit einem Bedrohungscluster in Verbindung, den es unter dem Namen Hive0117 verfolgt.
„Die Kampagne gibt sich als offizielle Kommunikation des Föderalen Gerichtsvollzieherdienstes der russischen Regierung aus. Die russischsprachigen E-Mails sind an Nutzer in Litauen, Estland und Russland in den Bereichen Telekommunikation, Elektronik und Industrie gerichtet“, so das Unternehmen.
Das Update zu den Cyber-Aktivitäten kommt zu einem Zeitpunkt, an dem Microsoft bekannt gibt, dass sechs verschiedene mit Russland verbündete Akteure zwischen dem 23. Februar und dem 8. April mindestens 237 Cyber-Angriffe gegen die Ukraine gestartet haben, darunter 38 diskrete zerstörerische Angriffe, die Dateien in Hunderten von Systemen in Dutzenden von Organisationen in dem Land unwiderruflich zerstört haben.
Die geopolitischen Spannungen und die darauf folgende militärische Invasion in der Ukraine haben auch zu einer Eskalation von Datenvernichtungsangriffen geführt, die darauf abzielen, geschäftskritische Prozesse lahmzulegen und forensische Beweise zu vernichten.
Das ukrainische Computer Emergency Response Team (CERT-UA) enthüllte zudem Details über laufende DDoS-Angriffe (Distributed Denial of Service), die sich gegen Regierungs- und Nachrichtenportale richteten, indem sie bösartiges JavaScript (genannt „BrownFlood“) in die angegriffenen Seiten einschleusten.
Auch außerhalb der Ukraine wurden DDoS-Angriffe gemeldet. Letzte Woche teilte Rumäniens National Directorate of Cyber Security (DNSC) mit, dass mehrere Websites öffentlicher und privater Einrichtungen „von Angreifern angegriffen wurden, die darauf abzielten, diese Online-Dienste nicht mehr verfügbar zu machen“.
Die Angriffe, zu denen sich ein pro-russisches Kollektiv namens Killnet bekannte, waren eine Reaktion auf die Entscheidung Rumäniens, die Ukraine im militärischen Konflikt mit Russland zu unterstützen.