Ein Bedrohungscluster, das mit dem russischen NSA-Akteur Sandworm in Verbindung steht, hat die Ukraine weiterhin mit Commodity-Malware ins Visier genommen, indem es sich als Telekommunikationsanbieter ausgab.
Recorded Future hat eine neue Infrastruktur entdeckt, die zu UAC-0113 gehört und Betreiber wie Datagroup und EuroTransTelecom imitiert, um Nutzdaten wie den Colibri Loader und Warzone RAT zu verbreiten.
Die Angriffe sollen eine Ausweitung derselben Kampagne sein, die zuvor DCRat (oder DarkCrystal RAT) über Phishing-E-Mails mit Rechtshilfe-Themen als Köder gegen Telekommunikationsanbieter in der Ukraine verbreitet hat.
Sandworm ist eine russische Bedrohungsgruppe, die vor allem für Angriffe auf das ukrainische Stromnetz in den Jahren 2015 und 2016 sowie für die NotPetya-Angriffe im Jahr 2017 bekannt ist. Es wurde bestätigt, dass es sich um die Einheit 74455 des russischen Militärgeheimdienstes GRU handelt.
Das gegnerische Kollektiv, das auch als Voodoo Bear bekannt ist, versuchte Anfang April dieses Jahres zum dritten Mal in der Ukraine mit einer neuen Variante einer Malware namens Industroyer Hochspannungsschaltanlagen, Computer und Netzwerkausrüstung zu beschädigen.
Die russische Invasion in der Ukraine hat die Gruppe auch zu zahlreichen anderen Angriffen veranlasst, darunter die Ausnutzung der Follina-Schwachstelle (CVE-2022-30190) im Microsoft Windows Support Diagnostic Tool (MSDT), um in Medieneinrichtungen in dem osteuropäischen Land einzudringen.
Außerdem wurde sie als Drahtzieherin eines neuen modularen Botnetzes namens Cyclops Blink enttarnt, das mit dem Internet verbundene Firewall-Geräte und Router von WatchGuard und ASUS versklavt.
Die US-Regierung hat ihrerseits eine Belohnung von bis zu 10 Millionen Dollar für Informationen über sechs Hacker angekündigt, die mit der APT-Gruppe in Verbindung stehen, weil sie an bösartigen Cyber-Aktivitäten gegen kritische Infrastrukturen des Landes beteiligt waren.
„Der Übergang von DarkCrystal RAT zu Colibri Loader und Warzone RAT zeigt, dass UAC-0113 immer häufiger öffentlich verfügbare Standard-Malware verwendet“, so Recorded Future.
Die Angriffe führen dazu, dass die betrügerischen Domains eine Webseite hosten, auf der angeblich die „Odesa Regional Military Administration“ zu finden ist, während eine verschlüsselte ISO-Image-Nutzlast heimlich über eine Technik namens HTML-Schmuggel verbreitet wird.
HTML-Schmuggel ist eine Technik zur Verbreitung von Malware, die legitime HTML- und JavaScript-Funktionen ausnutzt, um Malware zu verbreiten und herkömmliche Sicherheitskontrollen zu umgehen.
Recorded Future hat außerdem Ähnlichkeiten mit einem anderen HTML-Dropper-Anhang festgestellt, der von APT29 in einer Kampagne verwendet wurde, die zwischen Mai und Juni 2022 auf westliche diplomatische Vertretungen abzielte.
In der ISO-Datei, die am 5. August 2022 erstellt wurde, sind drei Dateien eingebettet, darunter eine LNK-Datei, die das Opfer dazu verleitet, die Infektionssequenz zu aktivieren, was dazu führt, dass sowohl der Colibri Loader als auch der Warzone RAT auf dem Zielcomputer installiert werden.
Bei der Ausführung der LNK-Datei wird außerdem ein harmloses Täuschungsdokument gestartet – ein Antrag für ukrainische Bürgerinnen und Bürger, um Geldentschädigungen und Treibstoffrabatte zu beantragen -, um die bösartigen Operationen zu verschleiern.