Neue russische Malware kommt über Fehler in Windows
Die Hackergruppe APT28, die enge Verbindungen zu Russland hat, nutzt eine Sicherheitslücke im Microsoft Windows Print Spooler, um eine neue, speziell entwickelte Malware zu verbreiten. Durch diesen Angriff wird „GooseEgg“ auf betroffene Systeme eingeschleust – eine Malware mit überraschenden Fähigkeiten.
Das Post-Compromise-Tool, das mindestens seit Juni 2020 – möglicherweise schon seit April 2019 – eingesetzt wurde, nutzte eine Sicherheitslücke aus (CVE-2022-38028, CVSS-Score: 7.8), die es ermöglichte, Rechte zu erweitern. Microsoft behob diese Schwachstelle im Rahmen der Updates, die im Oktober 2022 veröffentlicht wurden, nachdem die US-amerikanische National Security Agency (NSA) die Schwachstelle gemeldet hatte.
Neue Erkenntnisse des Bedrohungsanalyse-Teams von Microsoft zeigen, dass APT28 (auch bekannt als Fancy Bear und Forest Blizzard, früher Strontium genannt) die Sicherheitslücke für Angriffe auf ukrainische, westeuropäische und nordamerikanische Regierungs-, Nichtregierungs-, Bildungs- und Transportorganisationen nutzte.
Die Gruppe verwendete GooseEgg, um eine JavaScript-Einschränkungsdatei zu modifizieren und mit Berechtigungen auf SYSTEM-Ebene auszuführen. Obwohl GooseEgg an sich eine einfache Startanwendung ist, kann sie andere Anwendungen mit erhöhten Berechtigungen starten. Das erlaubt den Bedrohungsakteuren, Remote-Code auszuführen, Hintertüren zu installieren und sich seitlich durch kompromittierte Netzwerke zu bewegen.
Forest Blizzard bzw. APT28 wird mit der Einheit 26165 des militärischen Nachrichtendienstes der Russischen Föderation, dem Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation (GRU), in Verbindung gebracht. Diese vom Kreml unterstützte Hackergruppe ist seit fast 15 Jahren aktiv und konzentriert sich hauptsächlich auf die Sammlung von Informationen zur Unterstützung außenpolitischer Initiativen der russischen Regierung.
In den letzten Monaten haben APT28-Hacker auch eine Schwachstelle in Microsoft Outlook (CVE-2023-23397, CVSS-Score: 9.8) und einen Codeausführungsfehler in WinRAR (CVE-2023-38831, CVSS-Score: 7.8) ausgenutzt, was zeigt, dass sie in der Lage sind, öffentliche Exploits schnell in ihre Angriffe zu integrieren.
„Das Ziel von Forest Blizzard beim Einsatz von GooseEgg ist es, sich erweiterten Zugang zu Zielsystemen zu verschaffen und Anmeldedaten und Informationen zu stehlen“, so Microsoft. „GooseEgg wird in der Regel mit einem Batch-Skript bereitgestellt.“
Die GooseEgg-Binärdatei ermöglicht es, den Exploit auszulösen und entweder eine bereitgestellte Dynamic-Link-Library (DLL) oder eine ausführbare Datei mit erweiterten Rechten zu starten. Zudem überprüft GooseEgg, ob der Exploit erfolgreich war, indem es den Befehl whoami ausführt.
Erst vor kurzem hat IBM X-Force neue Phishing-Angriffe des Gamaredon-Akteurs (auch bekannt als Aqua Blizzard, Hive0051 und UAC-0010) in der Ukraine und Polen aufgedeckt. Diese Angriffe enthalten neue Versionen der GammaLoad-Malware, darunter:
- GammaLoad.VBS: Eine VBS-basierte Backdoor, die die Infektionskette einleitet.
- GammaStager: Wird verwendet, um Base64-kodierte VBS-Nutzdaten herunterzuladen und auszuführen.
- GammaLoadPlus: Zum Ausführen von .EXE-Nutzlasten.
- GammaInstall: Dient als Ladeprogramm für die bekannte PowerShell-Backdoor namens GammaSteel.
- GammaLoad.PS: Eine PowerShell-Implementierung von GammaLoad.
- GammaLoadLight.PS: Eine PowerShell-Variante, die Code zur Verbreitung auf angeschlossene USB-Geräte enthält.
- GammaInfo: Ein PowerShell-basiertes Skript zur Aufzählung von Informationen vom Host.
- GammaSteel: Eine PowerShell-basierte Malware zur Exfiltration von Dateien basierend auf einer Erlaubnisliste für Dateierweiterungen.
Laut einer Analyse von IBM X-Force-Forschern Anfang des Monats rotiert Hive0051 seine Infrastruktur durch synchronisierten DNS-Fluss über mehrere Kanäle, einschließlich Telegram, Telegraph und Filetransfer.io. Dies deutet darauf hin, dass die Akteure möglicherweise ihre Ressourcen und Fähigkeiten für laufende Operationen erweitern.
Es ist sehr wahrscheinlich, dass Hive0051 durch die kontinuierliche Bereitstellung neuer Tools, Fähigkeiten und Auslieferungsmethoden schnell an Fahrt aufnimmt.