Attacken von Gamaredon

Russische Hacker greifen Ukraine über Phishing und Word-Vorlagen an

Uhr
von Adrian Oberer und kfi

Forschende von Symatec haben einen Bericht zu den jüngsten Cyberangriffen auf die Ukraine veröffentlicht. Hinter den Attacken soll eine vom russischen Staat finanzierte Hacker-Gruppe namens Gamaredon stehen.

(Source: Lightcome / iStock.com)
(Source: Lightcome / iStock.com)

Sicherheitsforschende von Broadcoms Cybersicherheitsabteilung Symantec haben einen Bericht zu den jüngsten Angriffen russischer Hacker auf die Ukraine veröffentlicht. Die versendeten Phishing-Nachrichten enthalten gemäss dem Bericht ein selbstextrahierendes Zip-Archiv. Die Forschenden konnten demnach die zwischen dem 15. Juli und 8. August lancierten Angriffe auf eine mit der Hackergruppe Gamaredon - auch als Shuckworm bekannt - verbundene Domain zurückführen.

Das Zip-Archiv lade nach dem Extrahieren automatisch eine XML-Datei auf das infizierte Gerät, welches dann einen Powershell-Information-Stealer ausführe. Die Forschenden fanden dem Bericht zufolge verschiedene Variationen dieser Malware, was vermutlich dazu dient, länger unerkannt zu bleiben. Weiter versuchten die Hacker, die bei Gamaredon-Mitgliedern beliebte Backdoor names Pterodo - in einigen Fällen auch die Giddome-Backdoor - auf den Geräten zu installieren. Diese Backdoors ermöglichen es den Angreifern gemäss "Bleepingcomputer.com", Audiodaten über das Mikrofon des Hosts aufzuzeichnen, Screenshots vom Desktop zu erstellen, Tastatureingaben zu protokollieren oder zusätzliche ".exe"- und ".dll"-Payloads herunterzuladen und auszuführen.

Ukrainische Behörde berichtet von weiteren Angriffen

Das ukrainische "Computer Emergency Response Team" (CERT-UA), eine Einheit der ukrainischen Cybersicherheitsbehörde, berichtete ebenfalls über die Vorfälle (in Ukrainisch), entdeckte aber eine weitere Angriffsmethode. Demnach versucht Gameredon, die Datei "Normal.dotm" des Hosts mit einem speziell gestalteten Makro zu verändern. Bei der Datei handelt es sich um eine Vorlage für Word-Dokumente. Diese wird automatisch ausgeführt, sobald Microsoft Word gestartet wird. Nach einem gelungenen Angriff wird gemäss "Bleepingcomputer" jedes auf dem Computer erstellte Word-Dokument mit einem bösartigen Code versehen. Auf diese Weise könne die Hacker-Gruppe ihre Opfer als hochwertige Infektionsquelle nutzen, da Empfänger die infizierten Dokumente von vertrauenswürdigen Absendern erhalten.

Cyberangriffe haben seit Kriegsbeginn zugenommen

Die Hacker-Gruppe Gamaredon habe es bereits seit 2014 auf Ziele in der Ukraine abgesehen. Seit Kriegsbeginn haben die Angriffe laut "Bleepingcomputer" aber deutlich zugenommen. So berichtete die ukrainische Cybersicherheitsbehörde im Februar von einer gross angelegten DDOS-Attacke auf ukrainische Streitkräfte und Banken, wie Sie hier lesen können. Gamaredon werde schon länger dem 18. Zentrum für Informationssicherheit des russischen föderalen Sicherheitsdienstes (FSB) zugeordnet.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_264919