Die unter dem Namen Turla bekannte russische Cyberspionagegruppe wurde dabei beobachtet, wie sie die von einer zehn Jahre alten Malware genutzte Angriffsinfrastruktur huckepack nahm, um ihre eigenen Aufklärungs- und Backdoor-Tools an Ziele in der Ukraine zu liefern.
Das zu Google gehörende Unternehmen Mandiant, das die Operation unter dem nicht kategorisierten Clusternamen UNC4210 verfolgt, erklärte, dass die gekaperten Server einer Variante einer Commodity-Malware namens ANDROMEDA (auch bekannt als Gamarue) entsprechen, die 2013 bei VirusTotal hochgeladen wurde.
„UNC4210 registrierte mindestens drei abgelaufene ANDROMEDA Command-and-Control (C2) Domains und begann im September 2022 damit, Profile von Opfern zu erstellen, um KOPILUWAK und QUIETCANARY gezielt einzusetzen“, so die Mandiant-Forscher in einer letzte Woche veröffentlichten Analyse.
Turla, auch bekannt unter den Namen Iron Hunter, Krypton, Uroburos, Venomous Bear und Waterbug, ist eine Eliteorganisation des Nationalstaates, die vor allem staatliche, diplomatische und militärische Organisationen angreift und dabei eine große Anzahl an maßgeschneiderter Malware einsetzt.
Seit dem Beginn der russischen Militärinvasion in der Ukraine im Februar 2022 wurde das gegnerische Kollektiv mit einer Reihe von Phishing- und Aufklärungsversuchen in Verbindung gebracht, die sich gegen Einrichtungen in diesem Land richteten.
Im Juli 2022 deckte die Threat Analysis Group (TAG) von Google auf, dass Turla eine bösartige Android-App entwickelt hatte, die pro-ukrainischen Hacktivisten dabei helfen sollte, DDoS-Angriffe (Distributed Denial of Service) gegen russische Websites zu starten.
Die jüngste Entdeckung von Mandiant zeigt, dass Turla heimlich ältere Infektionen als Verbreitungsweg für Malware nutzt, ganz zu schweigen von der Tatsache, dass sich ANDROMEDA über infizierte USB-Sticks verbreitet.
„USB-Malware ist nach wie vor ein nützlicher Vektor, um sich einen ersten Zugang zu Unternehmen zu verschaffen“, so das Threat Intelligence-Unternehmen.
In dem von Mandiant analysierten Vorfall soll ein infizierter USB-Stick im Dezember 2021 in eine ungenannte ukrainische Organisation eingesteckt worden sein, was letztendlich zur Verbreitung eines ANDROMEDA-Artefakts auf dem Host führte, nachdem eine bösartige Link-Datei (.LNK) gestartet wurde, die sich als Ordner auf dem USB-Laufwerk tarnte.
Der Bedrohungsakteur nutzte dann eine der ruhenden Domänen, die Teil der stillgelegten C2-Infrastruktur von ANDROMEDA waren – und die er im Januar 2022 neu registrierte -, um ein Profil des Opfers zu erstellen, indem er die erste Stufe des KOPILUWAK-Droppers, ein JavaScript-basiertes Netzwerkaufklärungsprogramm, auslieferte.
Zwei Tage später, am 8. September 2022, ging der Angriff mit der Ausführung eines .NET-basierten Implantats namens QUIETCANARY (auch bekannt als Tunnus) in die letzte Phase über und führte zur Exfiltration von Dateien, die nach dem 1. Januar 2021 erstellt wurden.
Die von Turla angewandte Technik passt zu früheren Berichten, wonach die Gruppe zur Zeit des russisch-ukrainischen Krieges umfangreiche Opferprofile erstellte, was ihr dabei helfen könnte, die nachfolgenden Angriffe so zu gestalten, dass sie die für Russland interessanten Informationen abgreifen.
Es ist auch einer der seltenen Fälle, in denen eine Hackergruppe identifiziert wurde, die Opfer einer anderen Malware-Kampagne ins Visier nahm, um ihre eigenen strategischen Ziele zu erreichen und gleichzeitig ihre Rolle zu verschleiern.
„Da sich ältere ANDROMEDA-Malware weiterhin über kompromittierte USB-Geräte verbreitet, stellen diese neu registrierten Domains ein Risiko dar, da neue Bedrohungsakteure die Kontrolle übernehmen und neue Malware an die Opfer verteilen können“, so die Forscher.
„Diese neuartige Technik, abgelaufene Domains für sich zu beanspruchen, die von weit verbreiteter, finanziell motivierter Malware genutzt werden, kann Folgeangriffe auf ein breites Spektrum von Unternehmen ermöglichen. Außerdem werden ältere Malware und Infrastrukturen von Verteidigern, die eine Vielzahl von Alarmen abwägen, eher übersehen.
COLDRIVER zielt auf US-Atomforschungslabore
Reuters berichtet, dass eine andere russische, vom Staat gesponserte Bedrohungsgruppe mit dem Codenamen COLDRIVER (auch bekannt als Callisto oder SEABORGIUM) Anfang 2022 drei Atomforschungslabore in den USA ins Visier genommen hat.
Zu diesem Zweck wurden bei den digitalen Angriffen gefälschte Anmeldeseiten für die Brookhaven, Argonne und Lawrence Livermore National Laboratories erstellt, um Atomwissenschaftler/innen dazu zu bringen, ihre Passwörter preiszugeben.
Diese Taktik passt zu den bekannten Aktivitäten von COLDRIVER, die vor kurzem aufgedeckt wurden, als sie die Login-Seiten von Verteidigungs- und Geheimdienstberatungsunternehmen sowie von Nichtregierungsorganisationen, Think Tanks und Hochschuleinrichtungen in Großbritannien und den USA fälschten.