Es wurden Details einer neuen, von einem Nationalstaat gesponserten Phishing-Kampagne aufgedeckt, die es auf europäische Regierungsstellen abgesehen hat, um an Informationen über Flüchtlings- und Lieferbewegungen in der Region zu gelangen.
Das Sicherheitsunternehmen Proofpoint, das die bösartigen E-Mails zum ersten Mal am 24. Februar 2022 entdeckte, nannte die Social-Engineering-Angriffe „Asylum Ambuscade“.
„Die E-Mail enthielt einen bösartigen Makro-Anhang, der Social-Engineering-Themen im Zusammenhang mit der Dringlichkeitssitzung des NATO-Sicherheitsrats am 23. Februar 2022 nutzte“, so die Forscher Michael Raggi und Zydeca Cass in einem am Dienstag veröffentlichten Bericht.
„Die E-Mail enthielt auch einen bösartigen Anhang, der versuchte, bösartige Lua-Malware namens SunSeed herunterzuladen, und zielte auf europäisches Regierungspersonal ab, das für die Verwaltung von Transport und Bevölkerungsbewegungen in Europa zuständig ist.
Die Ergebnisse stützen sich auf einen Hinweis des Staatlichen Dienstes für Sonderkommunikation und Informationsschutz der Ukraine (DSSZZI), der letzte Woche vor Phishing-Nachrichten mit ZIP-Dateianhängen gewarnt hat, die sich an Militärangehörige richteten und darauf abzielten, sensible persönliche Daten zu stehlen.
Proofpoint lehnte es ab, die neu beobachtete Kampagne einem bestimmten Bedrohungsakteur zuzuordnen, stellte aber fest, dass die Überschneidungen in der Zeitachse der beiden Angriffsreihen, die verwendeten Phishing-Köder und die Muster der Opfer mit denen einer weißrussischen Gruppe namens UNC1151 (auch bekannt als TA445 oder Ghostwriter) übereinstimmen.
Einer der bemerkenswerten Aspekte von Asylum Ambuscade ist die wahrscheinliche Nutzung eines kompromittierten E-Mail-Kontos eines ukrainischen Militärangehörigen, um mit Malware verseuchte E-Mails zu versenden, die eine makroaktivierte XLS-Datei enthalten, die SunSeed auf infizierte Hosts überträgt, was darauf hindeutet, dass die neueste Kampagne eine Fortsetzung dieser Angriffe sein könnte.
Die Social-Engineering-Köder, die in dieser Phishing-Kampagne eingesetzt wurden, kamen genau zum richtigen Zeitpunkt: Am 23. Februar 2022 fand eine Sitzung des NATO-Sicherheitsrats statt und am 21. Februar 2022 kursierten in den westlichen Medien Nachrichten über eine „Abschussliste“ der russischen Regierung, die sich gegen Ukrainer richtete“, so die Forscher.
SunSeed wiederum fungiert als Downloader, der die Kommunikation mit einem von einem Akteur kontrollierten Server aufnimmt, um die nächste Stufe der Nutzlast zur Ausführung zu erhalten.
Das in Sunnyvale ansässige Cybersicherheitsunternehmen stellte fest, dass die Angriffe speziell auf Personen abzielten, die mit Aufgaben in den Bereichen Transport, Finanz- und Budgetverteilung, Verwaltung und Bevölkerungsbewegungen in Europa betraut sind.
Die Enthüllungen kommen zu einem Zeitpunkt, an dem Russlands verstärkte militärische Invasion in der Ukraine den Cyberspace polarisiert hat und Hacktivisten, Cyberkriminelle, White Hat Researcher und Technologieunternehmen sich in dem Konflikt für eine Seite entschieden haben.
In einem separaten Update beschrieb das ukrainische Computer Emergency Response Team (CERT-UA) die aktuellen Entwicklungen als „Informations- und Psychokrieg“ und forderte die Menschen im Land auf, ihre Konten sorgfältig auf unbekannte Geräte zu überwachen, die Zwei-Faktor-Authentifizierung zu aktivieren und Ende-zu-Ende-verschlüsselte Nachrichten-Apps zu nutzen.
Das E-Mail-Sicherheitsunternehmen Avanan meldete, dass sich die Zahl der E-Mail-Angriffe aus Russland seit dem 27. Februar verachtfacht hat, wobei zumindest einige davon auf Produktions-, internationale Versand- und Transportunternehmen in den USA und Europa abzielten.
„Angesichts des anhaltenden Krieges zwischen Russland und der Ukraine werden Aktionen von Proxy-Akteuren wie TA445 weiterhin auf europäische Regierungen abzielen, um Informationen über die Flüchtlingsströme aus der Ukraine und über Themen, die für die russische Regierung wichtig sind, zu sammeln“, so die Forscher.