Eine unbekannte Advanced Persistent Threat (APT)-Gruppe wurde mit einer Reihe von Spearphishing-Angriffen in Verbindung gebracht, die seit Beginn des russisch-ukrainischen Krieges Ende Februar 2022 auf russische Regierungsstellen abzielten.
„Die Kampagnen […] sind so angelegt, dass sie einen Remote Access Trojaner (RAT) einschleusen, mit dem die infizierten Computer überwacht und Befehle aus der Ferne ausgeführt werden können“, so Malwarebytes in einem am Dienstag veröffentlichten technischen Bericht.
Das Cybersecurity-Unternehmen schreibt die Angriffe mit geringer Wahrscheinlichkeit einer chinesischen Hackergruppe zu und verweist auf Infrastrukturüberschneidungen zwischen dem RAT und der Sakula Rat Malware, die von einem als Deep Panda bekannten Bedrohungsakteur verwendet wird.
Die Angriffsketten nutzten im Laufe von zwei Monaten zwar unterschiedliche Köder, verwendeten aber alle dieselbe Malware, abgesehen von kleinen Unterschieden im Quellcode.
Die Kampagne soll um den 26. Februar herum begonnen haben, also wenige Tage nach Russlands militärischem Einmarsch in der Ukraine. Die E-Mails verbreiteten das RAT unter dem Deckmantel einer interaktiven Karte der Ukraine („interactive_map_UA.exe“).
Diese Entwicklung zeigt einmal mehr, dass Bedrohungsakteure in der Lage sind, ihre Angriffe an das Weltgeschehen anzupassen und die relevantesten und aktuellsten Köder zu verwenden, um ihre Erfolgschancen zu maximieren.
Eine zweite Angriffswelle Anfang März zielte in erster Linie auf den staatlich kontrollierten Fernsehsender RT ab und nutzte eine betrügerische Softwarekorrektur für die Log4Shell-Schwachstelle, die Ende 2021 Schlagzeilen machte.
Die E-Mail enthielt nicht nur den Patch in Form einer komprimierten TAR-Datei, sondern auch ein PDF-Dokument mit Anweisungen zur Installation des Patches und eine Auflistung der besten Sicherheitspraktiken, wie z. B. die Aktivierung der Zwei-Faktor-Authentifizierung, die Verwendung des Kaspersky-Virenschutzes und der Verzicht auf das Öffnen oder Beantworten verdächtiger E-Mails.
Um die Authentizität der E-Mail zu erhöhen, enthielt das Dokument außerdem eine VirusTotal-URL, die auf eine andere Datei verwies, um den Eindruck zu erwecken, dass die Log4j-Patchdatei nicht bösartig ist.
Darüber hinaus enthielt die E-Mail Links zu einer von den Angreifern kontrollierten Domain „rostec[.]digital“ sowie betrügerische Profile auf Facebook und Instagram, die auf das russische Verteidigungskonglomerat anspielten.
„Interessanterweise erstellte der Angreifer die Facebook-Seite im Juni 2021, neun Monate bevor sie in dieser Kampagne verwendet wurde“, so die Forscher. „Dies war wahrscheinlich ein Versuch, Follower zu gewinnen, um die Seite legitimer aussehen zu lassen, und es deutet darauf hin, dass die APT-Gruppe diese Kampagne lange vor dem Einmarsch in die Ukraine geplant hat.“
Bei der dritten Variante des Angriffs wurde eine weitere bösartige ausführbare Datei verwendet – dieses Mal „build_rosteh4.exe“ – um die Malware als von Rostec stammend auszugeben.
Mitte April 2022 wendeten sich die Angreifer schließlich einem Phishing-Köder für Saudi Aramco zu, einem saudi-arabischen Erdöl- und Erdgasunternehmen. Das als Waffe eingesetzte Microsoft Word-Dokument diente als Auslöser für eine Infektionssequenz, um das RAT einzusetzen.
Die DLL-Nutzlast wendet eine Reihe fortschrittlicher Tricks an, um die Analyse zu vereiteln, darunter die Verflachung des Kontrollflusses und die Verschleierung von Zeichenketten.
Die Ergebnisse folgen den Erkenntnissen von Check Point, dass ein chinesisches Angreiferkollektiv mit Verbindungen zu Stone Panda und Mustang Panda mindestens zwei Forschungsinstitute in Russland mit einer bisher nicht dokumentierten Backdoor namens Spinner angriff.