Die mit Russland verbundene Gamaredon-Gruppe versuchte Anfang des Jahres während des anhaltenden russisch-ukrainischen Krieges erfolglos, in ein großes Erdölraffinerieunternehmen in einem NATO-Mitgliedstaat einzubrechen.
Der Angriff, der am 30. August 2022 stattfand, ist nur einer von mehreren Angriffen, die von der fortschrittlichen, hartnäckigen Bedrohung (Advanced Persistent Threat, APT) durchgeführt wurden, die dem russischen Föderalen Sicherheitsdienst(FSB) zugeschrieben wird.
Gamaredon, auch bekannt unter den Namen Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa und Winterflounder, hat es in der Vergangenheit vor allem auf ukrainische Einrichtungen und in geringerem Maße auch auf NATO-Verbündete abgesehen, um sensible Daten zu erbeuten.
„Während der Konflikt auf dem Boden und im Cyberspace weiterging, hat Trident Ursa als engagierter Zugangsersteller und Nachrichtensammler agiert“, so Palo Alto Networks Unit 42 in einem Bericht, der The Hacker News vorliegt. „Trident Ursa ist nach wie vor eine der am weitesten verbreiteten, aufdringlichen, kontinuierlich aktiven und zielgerichteten APTs, die es auf die Ukraine abgesehen haben.
Die kontinuierliche Überwachung der Aktivitäten der Gruppe durch Unit 42 hat in den letzten 10 Monaten mehr als 500 neue Domains, 200 Malware-Samples und mehrere Änderungen in der Taktik der Gruppe aufgedeckt, die auf die sich ständig ändernden und wachsenden Prioritäten reagieren.
Neben den Cyberangriffen soll die Sicherheitsgemeinschaft auch Droh-Tweets von einem mutmaßlichen Gamaredon-Mitarbeiter erhalten haben, die die Einschüchterungstechniken des Gegners verdeutlichen.
Weitere bemerkenswerte Methoden sind die Nutzung von Telegram-Seiten, um Command-and-Control (C2)-Server ausfindig zu machen, und Fast-Flux-DNS, um viele IP-Adressen in kurzer Zeit zu wechseln und so IP-basierte Denylisting- und Takedown-Maßnahmen zu erschweren.
Bei den Angriffen selbst werden waffenfähige Anhänge in Spear-Phishing-E-Mails verschickt, um eine VBScript-Backdoor auf dem kompromittierten Host einzurichten, die in der Lage ist, Persistenz herzustellen und zusätzlichen VBScript-Code auszuführen, der vom C2-Server bereitgestellt wird.
Es wurde auch beobachtet, dass Gamaredon-Infektionsketten Geoblocking nutzen, um die Angriffe auf bestimmte Orte zu beschränken, und dass sie ausführbare Dropper-Dateien verwenden, um VBScript-Nutzdaten der nächsten Stufe zu starten, die sich dann mit dem C2-Server verbinden, um weitere Befehle auszuführen.
Der Geoblocking-Mechanismus fungiert als Sicherheitslücke, da er die Sichtbarkeit der Angriffe des Bedrohungsakteurs außerhalb der Zielländer verringert und die Verfolgung seiner Aktivitäten erschwert.
„Trident Ursa bleibt eine agile und anpassungsfähige APT, die bei ihren Operationen keine allzu ausgefeilten oder komplexen Techniken einsetzt“, so die Forscher. „In den meisten Fällen verlassen sie sich auf öffentlich verfügbare Tools und Skripte – zusammen mit einem erheblichen Maß an Verschleierung – sowie auf routinemäßige Phishing-Versuche, um ihre Operationen erfolgreich durchzuführen.“