In einer „beispiellosen“ Wendung haben die Betreiber der TrickBot-Malware die Ukraine seit dem Beginn des Krieges Ende Februar 2022 systematisch ins Visier genommen.
Es wird vermutet, dass die Gruppe mindestens sechs Phishing-Kampagnen durchgeführt hat, die auf Ziele abzielen, die mit den Interessen des russischen Staates übereinstimmen, wobei die E-Mails als Köder für die Verbreitung von Schadsoftware wie IcedID, CobaltStrike, AnchorMail und Meterpreter dienen.
Die finanziell motivierte Cybercrime-Bande, die unter den Namen ITG23, Gold Blackburn und Wizard Spider bekannt ist, hat den Banking-Trojaner TrickBot entwickelt und wurde Anfang des Jahres in das inzwischen aufgelöste Ransomware-Kartell Conti eingegliedert.
Doch nur wenige Wochen später tauchten die mit der Gruppe verbundenen Akteure mit einer überarbeiteten Version der AnchorDNS-Backdoor namens AnchorMail wieder auf, die SMTPS- und IMAP-Protokolle für die Befehls- und Kontrollkommunikation nutzt.
„Die Kampagnen von ITG23 gegen die Ukraine sind bemerkenswert, weil sie sich von früheren Aktivitäten unterscheiden und weil diese Kampagnen anscheinend speziell auf die Ukraine abzielen, wobei einige Nutzlasten auf eine größere Zielauswahl hindeuten“, so Ole Villadsen, Analyst bei IBM Security X-Force, in einem technischen Bericht.
Eine auffällige Veränderung in den Kampagnen ist die Verwendung von nie zuvor gesehenen Microsoft Excel-Downloadern und der Einsatz von CobaltStrike, Meterpreter und AnchorMail als Nutzdaten der ersten Stufe. Die Angriffe sollen Mitte April 2022 begonnen haben.
Interessanterweise nutzte der Bedrohungsakteur das Schreckgespenst eines Atomkriegs in seiner E-Mail-Masche, um das AnchorMail-Implantat zu verbreiten. Diese Taktik wurde zwei Monate später von der russischen Gruppe APT28 wiederholt, um Daten stehlende Malware in der Ukraine zu verbreiten.
Darüber hinaus nutzte das Cobalt Strike-Sample, das im Rahmen einer Kampagne im Mai 2022 eingesetzt wurde, einen neuen Verschlüsselungscode mit dem Namen Forest, um der Entdeckung zu entgehen.
„Ideologische Spaltungen und Loyalitäten sind in diesem Jahr innerhalb des russischsprachigen Cyberkriminellen-Ökosystems immer deutlicher geworden“, so Villadsen. „Diese Kampagnen sind ein Beweis dafür, dass die Ukraine im Fadenkreuz prominenter russischer Cyberkrimineller steht.
Die Entwicklung kommt zu einem Zeitpunkt, an dem ukrainische Medien mit Phishing-Nachrichten angegriffen werden, die mit Malware verseuchte Dokumente enthalten, die die Follina-Schwachstelle ausnutzen, um das DarkCrystal RAT auf kompromittierte Systeme zu schleusen.
Das ukrainische Computer Emergency Response Team (CERT-UA) hat außerdem vor Angriffen einer Gruppe namens UAC-0056 gewarnt, die staatliche Organisationen mit personalisierten Köderprogrammen angreift, um Cobalt Strike Beacons auf den Rechnern abzuwerfen.
Im vergangenen Monat wies die Agentur außerdem auf die Verwendung des Royal Road RTF Waffensystems durch einen in China ansässigen Akteur mit dem Codenamen Tonto Team (auch bekannt als Karma Panda) hin, der mit der Bisonal-Malware wissenschaftliche und technische Unternehmen und staatliche Einrichtungen in Russland angreift.
SentinelOne schreibt diese Angriffe mit mittlerer Sicherheit der Advanced Persistent Threat (APT)-Gruppe zu und erklärt, dass die Ergebnisse „die fortgesetzten Bemühungen“ des chinesischen Geheimdienstes belegen, eine Vielzahl von mit Russland verbundenen Organisationen anzugreifen.