Die russische staatlich geförderte Cyberspionagegruppe Gamaredon hat ihren digitalen Angriff auf die Ukraine fortgesetzt. Die jüngsten Angriffe nutzten die beliebte Messaging-App Telegram, um das Militär und die Strafverfolgungsbehörden des Landes anzugreifen.
„Die Netzwerkinfrastruktur der Gamaredon-Gruppe stützt sich auf mehrstufige Telegram-Konten, um das Profil des Opfers zu erstellen und seinen geografischen Standort zu bestätigen, und führt das Opfer schließlich zum Server der nächsten Stufe für die endgültige Nutzlast“, so das BlackBerry Research and Intelligence Team in einem Bericht, der The Hacker News vorliegt. „Diese Art von Technik, um Zielsysteme zu infizieren, ist neu“.
Gamaredon, auch bekannt unter Namen wie Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa und Winterflounder, ist seit mindestens 2013 für seine Angriffe auf ukrainische Einrichtungen bekannt.
Letzten Monat deckte Palo Alto Networks Unit 42 die erfolglosen Versuche des Bedrohungsakteurs auf, in ein ungenanntes Erdölraffinerieunternehmen in einem NATO-Mitgliedstaat während des russisch-ukrainischen Krieges einzubrechen.
In den Angriffsketten des Bedrohungsakteurs wurden legitime Microsoft Office-Dokumente von ukrainischen Regierungsorganisationen als Köder in Spear-Phishing-E-Mails eingesetzt, um Malware zu verbreiten, die sensible Informationen abfängt.
Wenn diese Dokumente geöffnet werden, laden sie eine bösartige Vorlage aus einer entfernten Quelle (eine Technik, die als Remote Template Injection bezeichnet wird) und umgehen so effektiv die Notwendigkeit, Makros zu aktivieren, um in die Zielsysteme einzudringen und die Infektion zu verbreiten.
Die neuesten Erkenntnisse von BlackBerry zeigen eine Weiterentwicklung der Taktik der Gruppe, bei der ein fest kodierter Telegram-Kanal verwendet wird, um die IP-Adresse des Servers abzurufen, auf dem die Malware läuft. Die IP-Adressen werden regelmäßig gewechselt, um unter dem Radar zu bleiben.
Zu diesem Zweck ist die Remote-Vorlage so konzipiert, dass sie ein VBA-Skript abruft, das eine VBSkript-Datei ablegt, die sich dann mit der im Telegram-Kanal angegebenen IP-Adresse verbindet, um die nächste Stufe abzurufen – ein PowerShell-Skript, das wiederum eine andere IP-Adresse ansteuert, um eine PHP-Datei zu erhalten.
Diese PHP-Datei hat die Aufgabe, einen weiteren Telegram-Kanal zu kontaktieren, um eine dritte IP-Adresse abzurufen, die die endgültige Nutzlast enthält. Dabei handelt es sich um eine Schadsoftware, die im September 2022 von Cisco Talos entdeckt wurde.
Es ist auch erwähnenswert, dass das stark verschleierte VBA-Skript nur dann ausgeliefert wird, wenn sich die IP-Adresse des Ziels in der Ukraine befindet.
„Die Bedrohungsgruppe ändert die IP-Adressen dynamisch, was es noch schwieriger macht, die Analyse durch Sandbox-Techniken zu automatisieren, sobald das Sample veraltet ist“, so BlackBerry.
„Die Tatsache, dass sich die verdächtigen IP-Adressen nur während der osteuropäischen Arbeitszeiten ändern, deutet stark darauf hin, dass der Bedrohungsakteur von einem Standort aus arbeitet und mit großer Wahrscheinlichkeit zu einer offensiven Cyber-Einheit gehört, die bösartige Operationen gegen die Ukraine durchführt.“
Die Entwicklung kommt, nachdem das Computer Emergency Response Team der Ukraine (CERT-UA) einen zerstörerischen Malware-Angriff auf die Nationale Nachrichtenagentur der Ukraine der mit Russland verbundenen Hackergruppe Sandworm zugeschrieben hat.