Regierungsbehörden in der Ukraine wurden im Rahmen einer neuen Kampagne angegriffen, bei der trojanisierte Versionen von Windows 10-Installationsdateien genutzt wurden, um Aktivitäten nach der Ausbeutung durchzuführen.
Mandiant, das den Angriff auf die Lieferkette Mitte Juli 2022 entdeckte, erklärte, dass die bösartigen ISO-Dateien über ukrainische und russische Torrent-Websites verbreitet wurden. Der Bedrohungscluster wird unter der Bezeichnung UNC4166 geführt.
„Nach der Installation der kompromittierten Software sammelt die Malware Informationen über das kompromittierte System und exfiltriert sie“, so das Cybersicherheitsunternehmen in einem am Donnerstag veröffentlichten Technical Deep Dive.
Obwohl die Herkunft des Angreiferkollektivs unbekannt ist, sollen die Angriffe auf Organisationen abgezielt haben, die zuvor Opfer von störenden Wiper-Angriffen waren, die APT28, einem vom russischen Staat gesponserten Akteur, zugeschrieben werden.
Die ISO-Datei wurde laut dem von Google betriebenen Bedrohungsforschungsinstitut entwickelt, um die Übertragung von Telemetriedaten vom infizierten Computer an Microsoft zu deaktivieren, PowerShell-Hintertüren zu installieren sowie automatische Updates und Lizenzüberprüfungen zu blockieren.
Das Hauptziel der Operation scheint das Sammeln von Informationen gewesen zu sein. Zusätzliche Implantate wurden auf den Rechnern installiert, aber erst nachdem eine erste Erkundung der kompromittierten Umgebung durchgeführt wurde, um festzustellen, ob sie wertvolle Informationen enthält.
Dazu gehörten Stowaway, ein Open-Source-Proxy-Tool, Cobalt Strike Beacon und SPAREPART, eine leichtgewichtige, in C programmierte Backdoor, die es dem Bedrohungsakteur ermöglichte, Befehle auszuführen, Daten zu sammeln, Tastatureingaben und Screenshots zu erfassen und die Informationen an einen entfernten Server zu exportieren.
In einigen Fällen versuchte der Angreifer, den TOR-Anonymitätsbrowser auf das Gerät des Opfers zu laden. Der genaue Grund für diese Aktion ist unklar, aber es wird vermutet, dass er als alternativer Exfiltrationsweg gedient haben könnte.
SPAREPART wird, wie der Name schon sagt, als redundante Malware eingeschätzt, die eingesetzt wird, um den Fernzugriff auf das System aufrechtzuerhalten, falls die anderen Methoden versagen. Außerdem ist sie funktional identisch mit den PowerShell-Backdoors, die zu Beginn der Angriffskette eingesetzt wurden.
„Die Verwendung von trojanisierten ISOs ist ein Novum bei Spionageoperationen und die enthaltenen Anti-Detektions-Fähigkeiten deuten darauf hin, dass die Akteure hinter dieser Aktivität sicherheitsbewusst und geduldig sind, da die Operation viel Zeit und Ressourcen erfordert hätte, um das ISO zu entwickeln und darauf zu warten, dass es in einem Netzwerk von Interesse installiert wird“, so Mandiant.
Cloud Atlas schlägt in Russland und Weißrussland zu
Die Erkenntnisse kommen zu einem Zeitpunkt, an dem Check Point und Positive Technologies Angriffe einer Spionagegruppe namens Cloud Atlas auf den Regierungssektor in Russland, Weißrussland, Aserbaidschan, der Türkei und Slowenien als Teil einer hartnäckigen Kampagne bekannt gegeben haben.
Die Hackergruppe, die seit 2014 aktiv ist, hat bereits eine Reihe von Angriffen auf Einrichtungen in Osteuropa und Zentralasien durchgeführt. Doch seit dem Ausbruch des russisch-ukrainischen Krieges wurde beobachtet, dass sie vor allem Einrichtungen in Russland, Weißrussland und Transnistrien angreift.
„Die Akteure konzentrieren sich auch weiterhin auf die von Russland abgetrennte Krim-Halbinsel sowie die Regionen Lugansk und Donezk“, so Check Point in einer Analyse von letzter Woche.
Cloud Atlas, auch Clean Ursa, Inception und Oxygen genannt, ist bisher nicht identifiziert worden und reiht sich damit in die Reihe anderer APTs wie TajMahal, DarkUniverse und Metador ein. Die Gruppe verdankt ihren Namen dem Umstand, dass sie Cloud-Dienste wie OpenDrive nutzt, um Malware zu hosten und die Kontrolle zu übernehmen (C2).
Die von den Angreifern organisierten Angriffsketten nutzen in der Regel Phishing-E-Mails mit verlockenden Anhängen als ersten Angriffsvektor, die schließlich über eine komplizierte, mehrstufige Sequenz zur Auslieferung einer schädlichen Nutzlast führen.
Die Malware nimmt dann Kontakt mit einem vom Angreifer kontrollierten C2-Server auf, um weitere Hintertüren zu öffnen, mit denen Dateien mit bestimmten Erweiterungen von den angegriffenen Endpunkten gestohlen werden können.
Die von Check Point beobachteten Angriffe hingegen gipfeln in einer PowerShell-basierten Backdoor namens PowerShower, die erstmals von Palo Alto Networks Unit 42 im November 2018 dokumentiert wurde.
Einige dieser Angriffe im Juni 2022 erwiesen sich ebenfalls als erfolgreich und ermöglichten es den Angreifern, vollständigen Zugang zum Netzwerk zu erhalten und Tools wie Chocolatey, AnyDesk und PuTTY zu nutzen, um ihre Position zu stärken.
„Mit der Eskalation des Konflikts zwischen Russland und der Ukraine konzentrierten sich die Angreifer im vergangenen Jahr auf Russland und Weißrussland und deren diplomatische, staatliche, Energie- und Technologiesektoren sowie auf die annektierten Regionen der Ukraine“, fügte Check Point hinzu.