APT29 alias Cloaked Ursa

Russische Hacker ködern Diplomaten mit BMW-Inserat

Uhr
von Marc Landis und rja

Die russische Hackergruppe APT29 hat Diplomaten in der Ukraine mit Lockmitteln wie Autoinseraten dazu verleitet, auf bösartige Links zu klicken, die Malware enthalten. APT29 steht in Verbindung mit dem russischen Auslandsgeheimdienst SVR (früher bekannt als KGB) und ist für zahlreiche Cyberspionage-Kampagnen verantwortlich.

Bösartiges BMW-Datenblatt von APT29 (Source: zVg)
Bösartiges BMW-Datenblatt von APT29 (Source: zVg)

APT29, UAC-0029, Midnight Blizzard/Nobelium, Cozy Bear, Cloaked Ursa bezeichnen ein und dieselbe Hackergruppe des russischen Auslandsgeheimdienstes SVR, der früher KGB hiess. Die russischen Hacker sind dafür bekannt, diplomatische Vertretungen in aller Welt ins Visier zu nehmen, wie Bleepingcomputer unter Berufung auf einen kürzlich veröffentlichten Bericht des Unit 42-Teams von Palo Alto Network berichtet. Nun habe APT29 seine Phishing-Taktik weiterentwickelt und setze Köder ein, die für den Empfänger der Phishing-E-Mails persönlicher seien.

Der 5er BMW aus Kiew

Bei einer der jüngsten APT29-Operationen, die von Unit 42 entdeckt wurden und im Mai 2023 begannen, nutzten die Bedrohungsakteure demnach eine BMW-Autowerbung, um Diplomaten in der ukrainischen Hauptstadt Kiew anzusprechen.

Der Verkaufsflyer wurde an die E-Mail-Adressen von Diplomaten geschickt und imitierte einen legitimen Autoverkauf, der zwei Wochen zuvor tatsächlich von einem polnischen Diplomaten, der sich auf die Ausreise aus der Ukraine vorbereitete, in Umlauf gebracht wurde.

Wenn die Empfänger auf den in dem nun bösartig verbreiteten Dokument eingebetteten Link "Weitere hochwertige Fotos sind hier" klickten, wurden sie auf eine HTML-Seite umgeleitet, die mittels HTML Smuggling bösartige ISO File Payloads generiert.

Dieser "HTML-Schmuggel" ist eine Technik, um schädlichen HTML-Code hinter der Firewall und im Browser von Anwendern zu generieren. Die Angreifer nutzen dazu HTML5 und Javascript, um auf dem Browser Code zu erstellen, der nicht mehr von Firewalls und anderen Systemen erkannt wird. Dieser Code wird erst in einem Browser entschlüsselt, wenn ein Benutzer den Anhang öffnet oder auf einen Link klickt. Mit dieser Technik kann Sicherheitssoftware umgangen werden, da der bösartige Code verschleiert wird.

Unit 42 berichtet, dass mindestens 22 der 80 ausländischen Vertretungen in Kiew Ziel dieser Kampagne waren, darunter die der Vereinigten Staaten, Kanadas, der Türkei, Spaniens, der Niederlande, Griechenlands, Estlands und Dänemarks. Die Infektionsrate bleibt jedoch unbekannt.

Etwa 80 Prozent der E-Mail-Adressen, die den bösartigen Flyer erhielten, waren im Internet öffentlich zugänglich, während APT29 die übrigen 20 Prozent durch die Kompromittierung von Konten und das Sammeln von Informationen erlangt haben muss, wie Bleepingcomputer weiter schreibt.

 

Eine andere fiese Phishing-Masche nutzen Cyberkriminelle mittels Code Injection, indem sie so die Websites seriöser Unternehmen manipulieren. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
ZU9cCeEK