Bericht von Malwarebytes

Phishing-Kampagne zielt auf Kritiker in russischer Bevölkerung

Uhr
von Pascal Wojnarski und kfi

Kriminelle haben eine Spear-Phishing-Kampagne lanciert, die sich gegen Kritiker und Kritikerinnen in der russischen Bevölkerung richtet. Die Betrüger geben sich als Behörden aus und werfen ihren Opfern vor, illegale Websites besucht zu haben.

(Source: lassedesignen / Fotolia.com)
(Source: lassedesignen / Fotolia.com)

Das Threat Intelligence Team von Malwarebytes hat vermehrt Spear-Phishing-Angriffe innerhalb Russlands beobachtet. Wie Malwarebytes mitteilt, richtet sich die Kampagne speziell gegen russische Bürgerinnen und Bürger und Regierungsstellen. Die Inhalte der Phishingmails scheinen sich spezifisch auf Personen zu beziehen, die kritisch gegenüber der russischen Regierung sein könnten.

Vermeintlich droht ein Ministerium

Bei Spear-Phishing-Angriffen nutzen die Täter Informationen über ihre Opfer, die sie beispielsweise im Internet entdeckt haben. Dadurch wirkt der Phishing-Versuch besonders authentisch und ist dadurch erfolgsversprechender. Im aktuellen Fall geben die Täter in den E-Mails ausserdem vor, vom "Ministerium für digitale Entwicklung, Telekommunikation und Massenkommunikation der Russischen Föderation" oder dem russischen "Föderalen Dienst für die Überwachung von Kommunikation, Informationstechnologie und Massenkommunikation" zu stammen. Den Empfängern und Empfängerinnen wird vorgeworfen, verbotene Webseiten, soziale Netzwerke, Messenger oder VPN-Dienste zu nutzen. Dies hätte eine Strafanzeige zur Folge. Um weitere Informationen zu erhalten, werden Nutzerinnen und Nutzer dann aufgefordert, einen bösartigen Anhang oder Link zu öffnen. Dadurch können die Angreifer ihre Opfer mit der Schadsoftware Cobalt Strike infizieren.

Weiter heisst es, dass das Threat Intelligence Team von Malwarebytes einen Zusammenhang dieser Kampagne mit zwei Dokumenten feststellen konnte. Diese Dokumente würden die Schwachstelle CVE-2021-40444 ausnutzen. Neu sei an dem Angriff jedoch, dass erstmals RTF- anstelle von Word-Dokumenten verwendet wurden. Zudem würden die Angreifer eine neue Variante des Exploits "CAB-less" nutzen.

Die Phishingmails würden dem Bericht zufolge bestimmte Domänen anvisieren. Basierend auf der Analyse von Malwarebytes könnten auch russische Ministerien potenzielle Opfer der Attacke sein.

Derzeit fliehen vor dem Hintergrund von Russlands Krieg gegen die Ukraine massenweise Informatiker aus Russland. Experten rechnen mit bis zu 100'000, die noch folgen könnten. Welche Gegenmassnahmen das verhindern sollen, können Sie hier nachlesen.

Webcode
DPF8_252030