Das ukrainische Computer Emergency Response Team (CERT-UA) warnt vor einer neuen Reihe von Spear-Phishing-Angriffen, die die „Follina“-Schwachstelle im Windows-Betriebssystem ausnutzen, um Malware zu installieren, die Passwörter stiehlt.
Das CERT-UA führt die Angriffe auf eine russische Gruppe mit dem Namen APT28 (auch bekannt als Fancy Bear oder Sofacy) zurück. Die Angriffe beginnen mit einem Dokument mit dem Titel „Nuclear Terrorism A Very Real Threat.rtf“, das die kürzlich entdeckte Sicherheitslücke ausnutzt, um eine Malware namens CredoMap herunterzuladen und auszuführen.
Follina (CVE-2022-30190, CVSS-Score: 7.8), bei der es sich um einen Fall von Remotecodeausführung handelt, der das Windows Support Diagnostic Tool (MSDT) betrifft, wurde von Microsoft am 14. Juni 2022 im Rahmen der Patch Tuesday Updates behoben.
Einem unabhängigen Bericht von Malwarebytes zufolge handelt es sich bei CredoMap um eine Variante des .NET-basierten Credential Stealers, der laut der Google Threat Analysis Group (TAG) letzten Monat gegen Nutzer in der Ukraine eingesetzt wurde.
Der Hauptzweck der Malware ist es, Daten, einschließlich Passwörter und gespeicherte Cookies, aus verschiedenen beliebten Browsern wie Google Chrome, Microsoft Edge und Mozilla Firefox abzuschöpfen.
„Obwohl das Plündern von Browsern wie ein kleiner Diebstahl aussehen mag, sind Passwörter der Schlüssel zum Zugriff auf sensible Informationen und Geheimdienstinformationen“, so Malwarebytes. „Das Ziel und die Beteiligung von APT28, einer Abteilung des russischen Militärgeheimdienstes, deuten darauf hin, dass die Kampagne Teil des Konflikts in der Ukraine ist oder zumindest mit der Außenpolitik und den militärischen Zielen des russischen Staates in Verbindung steht.
Es ist nicht nur APT28. Das CERT-UA hat außerdem vor ähnlichen Angriffen von Sandworm und einem Akteur namens UAC-0098 gewarnt, die eine auf Follina basierende Infektionskette nutzen, um CrescentImp und Cobalt Strike Beacons auf den Zielhosts einzusetzen.
Die Entwicklung kommt zu einem Zeitpunkt, an dem die Ukraine inmitten des andauernden Krieges mit Russland weiterhin ein Ziel von Cyberangriffen ist. Im Mai 2022 wurden Hacker von Armageddon entdeckt, die die Malware GammaLoad.PS1_v2 verbreiteten.