Mindestens drei verschiedene APT-Gruppen (Advanced Persistent Threats) aus der ganzen Welt haben Mitte März 2022 Spear-Phishing-Kampagnen gestartet, die den andauernden russisch-ukrainischen Krieg als Köder nutzen, um Malware zu verbreiten und sensible Informationen zu stehlen.
Die Kampagnen, die von El Machete, Lyceum und SideWinder durchgeführt wurden, zielten auf eine Vielzahl von Sektoren ab, darunter Energie-, Finanz- und Regierungssektoren in Nicaragua, Venezuela, Israel, Saudi-Arabien und Pakistan.
„Die Angreifer verwenden je nach Ziel und Region Köder, die von offiziell aussehenden Dokumenten bis hin zu Nachrichtenartikeln oder sogar Stellenausschreibungen reichen“, so Check Point Research in einem Bericht. „Viele dieser Köderdokumente nutzen bösartige Makros oder Template Injection, um zunächst in den Zielorganisationen Fuß zu fassen und dann Malware-Angriffe zu starten.“
Die Infektionsketten von El Machete, einem spanischsprachigen Bedrohungsakteur, der erstmals im August 2014 von Kaspersky dokumentiert wurde, beinhalten die Verwendung von mit Makros versehenen Köderdokumenten, um einen Open-Source-Remote-Access-Trojaner namens Loki.Rat zu installieren, der in der Lage ist, Tastatureingaben, Anmeldeinformationen und Daten aus der Zwischenablage abzufangen sowie Dateioperationen durchzuführen und beliebige Befehle auszuführen.
Eine zweite Kampagne stammt von der iranischen APT-Gruppe Lyceum, die laut Check Point einen Phishing-Angriff mit einer E-Mail startete, in der es angeblich um „russische Kriegsverbrechen in der Ukraine“ ging, um .NET- und Golang-Dropper der ersten Stufe einzuschleusen, die dann verwendet werden, um eine Backdoor zum Ausführen von Dateien zu installieren, die von einem Remote-Server abgerufen wurden.
Ein weiteres Beispiel ist SideWinder, eine staatlich geförderte Hackergruppe, die angeblich zur Unterstützung der politischen Interessen Indiens und mit besonderem Fokus auf seine Nachbarn China und Pakistan operiert. Die Angriffssequenz besteht in diesem Fall aus einem waffenfähigen Dokument, das die Schwachstelle im Equation Editor von Microsoft Office (CVE-2017-11882) ausnutzt, um eine Malware zu verbreiten, die Informationen stiehlt.
Die Ergebnisse spiegeln ähnliche Warnungen der Threat Analysis Group (TAG) von Google wider, die enthüllte, dass staatlich unterstützte Bedrohungsgruppen aus dem Iran, China, Nordkorea und Russland sowie zahlreiche andere kriminelle und finanziell motivierte Akteure kriegsbezogene Themen für Phishing-Kampagnen, Online-Erpressungsversuche und andere bösartige Aktivitäten nutzen.
„Obwohl die Aufmerksamkeit der Öffentlichkeit normalerweise nicht über einen längeren Zeitraum auf einem einzigen Thema verweilt, ist der russisch-ukrainische Krieg eine offensichtliche Ausnahme“, so das israelische Unternehmen. „Dieser Krieg betrifft mehrere Regionen der Welt und hat potenziell weitreichende Auswirkungen. Daher ist zu erwarten, dass APT-Bedrohungsakteure diese Krise weiterhin nutzen werden, um gezielte Phishing-Kampagnen zu Spionagezwecken durchzuführen.“