Hacker-Gruppe APT28 mit populärer Phishing-Methode unterwegs
Der russische Hacker APT28 wird mit mehreren laufenden Phishing-Kampagnen in Verbindung gebracht. Dabei werden gefälschte Dokumente als Köder eingesetzt. Diese ahmen Regierungs- und Nichtregierungsorganisationen (NGOs) in Europa, dem Südkaukasus, Zentralasien sowie Nord- und Südamerika nach.
Ein in der vergangenen Woche veröffentlichter IBM X-Force-Bericht stellt heraus, dass die Köder eine Mischung aus internen und öffentlich zugänglichen Dokumenten enthalten sowie möglicherweise von den Akteuren erstellte Dokumente aus verschiedenen Bereichen wie Finanzen, kritische Infrastrukturen, Führungskräfte-Engagements, Cybersicherheit, maritime Sicherheit, Gesundheitswesen, Wirtschaft und industrielle Produktion im Verteidigungsbereich. Das Technologieunternehmen überwacht die Aktivitäten unter dem Namen ITG05. Die Kampagne ist auch als Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (früher Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy, TA422 und UAC-028 bekannt.
Die Enthüllung kam mehr als drei Monate, nachdem der Angreifer dabei erwischt wurde, Täuschungsmanöver im Rahmen des Konflikts zwischen Israel und der Hamas zu nutzen, um eine spezielle Hintertür namens HeadLace einzurichten.
Seitdem hat APT28 auch ukrainische Regierungsstellen und polnische Organisationen mit Phishing-Nachrichten angegriffen, um dort spezielle Programme wie MASEPIE, OCEANMAP und STEELHOOK einzurichten.
In anderen Fällen wurden Sicherheitslücken in Microsoft Outlook (CVE-2023-23397, CVSS-Score: 9.8) ausgenutzt, um NT LAN Manager (NTLM) v2-Hashes zu stehlen. Damit könnte der Angreifer weitere Schwachstellen nutzen, um NTLMv2-Hashes für Relay-Angriffe zu extrahieren.
Die neuesten Angriffskampagnen, die von IBM X-Force zwischen Ende November 2023 und Februar 2024 beobachtet wurden, nutzen das „search-ms:“ URI-Protokoll in Microsoft Windows aus, um Opfer dazu zu bringen, Malware herunterzuladen, die auf von den Angreifern kontrollierten WebDAV-Servern gehostet wird.
Es gibt Anzeichen dafür, dass sowohl die WebDAV-Server als auch die MASEPIE-C2-Server auf kompromittierten Ubiquiti-Routern gehostet werden, die Teil eines Botnetzes waren, das letzten Monat von der US-Regierung ausgeschaltet wurde.
Die Phishing-Angriffe imitieren Einrichtungen aus verschiedenen Ländern und verwenden eine Mischung aus authentischen staatlichen und nichtstaatlichen Dokumenten, um die Infektionsketten zu starten.
Laut Sicherheitsforschern hat APT28 seine Methoden aktualisiert und nutzt jetzt den Hosting-Anbieter firstcloudit[.]com für laufende Operationen.
Höhepunkt und finales Ziel des Plans von APT28 ist der Einsatz von MASEPIE, OCEANMAP und STEELHOOK, um Dateien zu stehlen, Befehle auszuführen und Browserdaten zu erfassen. OCEANMAP wird als leistungsstärkere Version einer früheren Backdoor namens CredoMap beschrieben.
Die Forscher betonen, dass APT28 anpassungsfähig bleibt, indem es neue Infektionsmethoden einsetzt und kommerziell verfügbare Infrastrukturen nutzt, während es die Fähigkeiten seiner Malware ständig weiterentwickelt.