CERT-UA meldet Cyberangriffe auf ukrainische Staatssysteme
Das ukrainische CERT-UA schlägt Alarm: Mindestens drei gezielte Cyberangriffe trafen jüngst staatliche Behörden und kritische Infrastrukturen – mit dem klaren Ziel, hochsensible Daten abzugreifen. Die Angreifer hatten es offenbar auf das digitale Rückgrat des Landes abgesehen.
CERT-UA warnt vor einer gezielten Phishing-Kampagne, bei der kompromittierte E-Mail-Konten genutzt werden, um bösartige Nachrichten zu versenden. Diese enthalten Links zu legitimen Diensten wie DropMeFiles oder Google Drive, teilweise eingebettet in PDF-Dateien.
Die Angreifer erzeugen künstlichen Handlungsdruck, indem sie vorgeben, eine ukrainische Behörde plane Gehaltskürzungen. Die Empfänger werden aufgefordert, auf einen Link zu klicken, um eine angebliche Liste betroffener Mitarbeitender einzusehen.
Der Link führt zum Download eines VBS-Loaders (Visual Basic Script), der wiederum ein PowerShell-Skript nachlädt. Dieses durchsucht das infizierte System nach Dateien mit bestimmten Dateiendungen und erstellt Bildschirmaufnahmen. Ziel ist die unbemerkte Exfiltration sensibler Daten.
Die Kampagne wird der Bedrohungsgruppe UAC-0219 zugeschrieben und ist laut CERT-UA mindestens seit Herbst 2024 aktiv. Frühere Varianten nutzten ausführbare EXE-Dateien, ein VBS-Stealer-Skript sowie die legale Bildbearbeitungssoftware IrfanView, um die Angriffe zu tarnen.
CERT-UA hat die Schadsoftware auf den Namen WRECKSTEEL getauft. Eine Zuordnung zu einem bestimmten Staat gibt es bislang nicht.
Phishing-Kampagne als Ausgangspunkt
Die Cyberangriffe stehen im Zusammenhang mit einer Phishing-Kampagne, die sich gezielt gegen Unternehmen aus der Verteidigungs- und Luftfahrtbranche richtet. Dabei wollen die Angreifer Zugangsdaten zu Webmail-Konten stehlen – unter anderem über gefälschte Anmeldeseiten mit Bezug zum Krieg in der Ukraine.
Laut dem Sicherheitsteam von DomainTools wurden diese gefälschten Login-Seiten mit der Open-Source-Mailserver-Software Mailu erstellt, die frei auf GitHub verfügbar ist.
Besonders im Visier stehen Organisationen, die an der ukrainischen Verteidigung und Telekommunikationsinfrastruktur beteiligt sind – offenbar mit dem Ziel, Informationen über die militärische Unterstützung der Ukraine zu sammeln. Viele der betroffenen Firmen liefern Ausrüstung oder IT-Dienstleistungen für das ukrainische Militär.
Gleichzeitig beobachten Sicherheitsteams vermehrt Aktivitäten russlandnaher Gruppen wie UAC-0050 und UAC-0006. Seit Anfang 2025 führen sie breit angelegte Spam-Kampagnen durch, mit dem Ziel, entweder Geld zu erbeuten oder an vertrauliche Informationen zu gelangen. Sie setzen dabei auf bekannte Schadprogramme wie sLoad, Remcos RAT, NetSupport RAT und SmokeLoader, um vor allem Behörden, Energieversorger, Verteidigungsunternehmen und Nichtregierungsorganisationen zu attackieren.
Zunehmende Cyberangriffe auch auf russische Ziele
Während sich der Fokus vieler Sicherheitsberichte auf Angriffe gegen die Ukraine richtet, rücken nun auch gezielte Cyberoperationen gegen russische Organisationen in den Vordergrund.
Laut Kaspersky hat die Bedrohungsgruppe Head Mare mehrere russische Einrichtungen mit der Schadsoftware PhantomPyramid angegriffen. Die Malware kann über einen Command-and-Control-Server (C2) gesteuert werden, Befehle ausführen und weitere Schadprogramme wie MeshAgent nachladen.
Ebenfalls betroffen: Russische Energieunternehmen, Industrieanlagen sowie Entwickler und Zulieferer von Elektronikkomponenten. Diese wurden von einer weiteren Gruppe mit dem Codenamen Unicorn ins Visier genommen. In deren Phishing-Kampagnen kam ein VBS-Trojaner zum Einsatz, der Dateien und Bilder von infizierten Systemen abzieht.
Zusätzliche Angriffe meldet SEQRITE Labs: Unter dem Namen Operation HollowQuill laufen seit etwa Dezember 2024 gezielte Kampagnen gegen akademische, staatliche, militärische und luftfahrtsnahe Netzwerke in Russland. Die Angreifer nutzen raffinierte Social-Engineering-Taktiken, etwa PDF-Dokumente mit Malware, die als Forschungseinladungen oder offizielle Schreiben getarnt sind.
Laut Sicherheitsexperten Subhajeet Singha enthalten die Angriffsdateien meist ein bösartiges RAR-Archiv. Dieses liefert einen .NET-basierten Malware-Dropper, der wiederum einen Golang-basierten Shellcode-Loader, eine legitime OneDrive-Anwendung und ein manipuliertes PDF-Dokument mit der finalen Cobalt Strike-Nutzlast installiert.