Der technische Sicherheits- und Nachrichtendienst der Ukraine warnt vor einer neuen Welle von Cyberangriffen, die darauf abzielen, sich Zugang zu den Telegram-Konten der Nutzer/innen zu verschaffen.
„Die Kriminellen haben Nachrichten mit bösartigen Links zur Telegram-Website verschickt, um unbefugten Zugriff auf die Datensätze zu erhalten, einschließlich der Möglichkeit, einen Einmalcode per SMS zu übertragen“, so der Staatliche Dienst für Sonderkommunikation und Informationsschutz (SSSCIP) der Ukraine in einer Warnung.
Die Angriffe, die einem Bedrohungscluster mit der Bezeichnung „UAC-0094“ zugeordnet werden, haben ihren Ursprung in Telegram-Nachrichten, in denen die Empfänger gewarnt werden, dass ein Login von einem neuen Gerät in Russland entdeckt wurde, und die Nutzer aufgefordert werden, ihre Konten durch einen Klick auf einen Link zu bestätigen.
Die URL, in Wirklichkeit eine Phishing-Domain, fordert die Opfer auf, ihre Telefonnummern sowie die per SMS gesendeten Einmalpasswörter einzugeben, die dann von den Bedrohungsakteuren verwendet werden, um die Konten zu übernehmen.
Die Vorgehensweise ähnelt der eines früheren Phishing-Angriffs, der Anfang März aufgedeckt wurde. Damals wurden die Posteingänge verschiedener indischer Unternehmen missbraucht, um Phishing-E-Mails an Nutzer von Ukr.net zu senden und die Konten zu kapern.
Bei einer anderen Social-Engineering-Kampagne, die vom ukrainischen Computer Emergency Response Team (CERT-UA) beobachtet wurde, wurden kriegsbezogene E-Mails an ukrainische Regierungsbehörden geschickt, um eine Spionage-Malware zu installieren.
Die E-Mails enthalten einen HTML-Dateianhang („War Criminals of the Russian Federation.htm“), dessen Öffnen zum Download und zur Ausführung eines PowerShell-basierten Implantats auf dem infizierten Host führt.
Das CERT-UA führt den Angriff auf Armageddon zurück, einen in Russland ansässigen Bedrohungsakteur mit Verbindungen zum Föderalen Sicherheitsdienst (FSB), der seit mindestens 2013 immer wieder ukrainische Einrichtungen angreift.
Im Februar 2022 wurde die Hackergruppe mit Spionageangriffen auf Regierung, Militär, Nichtregierungsorganisationen (NGOs), Justiz, Strafverfolgungsbehörden und gemeinnützige Organisationen in Verbindung gebracht, deren Hauptziel es war, sensible Informationen zu erbeuten.
Armageddon, auch bekannt unter dem Namen Gamaredon, soll Ende März 2022 im Rahmen eines Phishing-Angriffs lettische Regierungsbeamte angegriffen haben, indem sie RAR-Archive mit Kriegsmotiven zur Verbreitung von Schadsoftware nutzten.
Andere Phishing-Kampagnen, die von CERT-UA in den letzten Wochen dokumentiert wurden, setzten eine Vielzahl von Malware ein, darunter GraphSteel, GrimPlant, HeaderTip, LoadEdge und SPECTR, ganz zu schweigen von einer von Ghostwriter angeführten Operation zur Installation des Cobalt Strike Post-Exploitation Frameworks.
Die Enthüllungen kommen zu einem Zeitpunkt, an dem mehrere APT-Gruppen (Advanced Persistent Threats) aus dem Iran, China, Nordkorea und Russland den anhaltenden russisch-ukrainischen Krieg als Vorwand nutzen, um Backdoors in Opfernetzwerke einzubauen und andere bösartige Aktivitäten zu inszenieren.