Russlands Hacker schlagen über Signal zu : Neue Malware zielt auf ukrainische Behörden

Die Gruppierung APT28, auch bekannt unter der Bezeichnung UAC-0001, gilt seit Jahren als zentrale Figur im russischen Cyberarsenal. Jetzt hat das ukrainische Computer Emergency Response Team (CERT-UA) einen neuen Angriff aufgedeckt, bei dem die Angreifer Nachrichten über den Messenger Signal versenden – nicht, um zu kommunizieren, sondern um Schadsoftware zu platzieren. Konkret handelt es sich um zwei neu entdeckte Werkzeuge: das Backdoor-Programm BEARDSHELL und das Malware-Framework COVENANT.

BEARDSHELL: Ein vielseitiges Spionagewerkzeug

Laut CERT-UA wurde BEARDSHELL erstmals im Frühjahr 2024 auf einem kompromittierten Windows-System gesichtet. Die Schadsoftware ist in der Programmiersprache C++ geschrieben und kann PowerShell-Skripte herunterladen und ausführen. Die Ausführungsergebnisse werden anschließend über die Schnittstelle des Cloudspeicherdienstes Icedrive an die Angreifer übermittelt. Als Teil der Angriffsoperation tauchte auch ein Screenshot-Tool mit dem Namen SLIMAGENT auf.

Die wichtigste neue Erkenntnis: Die Angriffe erfolgen über präparierte Microsoft-Word-Dokumente, die per Signal verschickt werden. In einem bekannten Fall enthielt das Dokument mit dem harmlos klingenden Namen „Акт.doc“ Makros, die beim Öffnen zwei Dateien auf dem System ablegen: eine bösartige DLL („ctec.dll“) und ein Bild im PNG-Format („windows.png“). Dabei wird auch die Windows-Registrierung manipuliert, sodass beim nächsten Start des Windows-Explorers automatisch Schadcode geladen wird. Das Ziel: Die Aktivierung des im Speicher residierenden COVENANT-Frameworks.

Sobald das COVENANT-Framework aktiv ist, lädt es zwei weitere Zwischenstufen nach, die schlussendlich den Start der BEARDSHELL-Backdoor auf dem kompromittierten Rechner ermöglichen. Damit erhalten die Angreifer dauerhaften Zugriff auf das betroffene System – inklusive der Möglichkeit zur Datenexfiltration und zur Ausführung beliebiger Befehle.

Schwachstellen in Webmail-Systemen als zusätzlicher Angriffsvektor

Wie die slowakische Sicherheitsfirma ESET, die das CERT-UA bereits seit über einem Jahr mit Bedrohungsanalysen zu APT28 unterstützt, herausfand, nutzte die Gruppe parallel zu den Signal-Angriffen auch Schwachstellen in veralteten Webmail-Systemen wie Roundcube, Horde, MDaemon und Zimbra aus. Dabei setzten die Hacker auf sogenannte Cross-Site-Scripting-Lücken (XSS), unter anderem CVE-2020-35730, CVE-2021-44026 und CVE-2020-12641. Die Opfer erhielten E-Mails mit scheinbar harmlosen Nachrichteninhalten – etwa Artikelauszüge von „nv.ua“ – die jedoch mit Exploits und Schadcode präpariert waren.

CERT-UA identifizierte gleich drei verschiedene JavaScript-Dateien, die in dieser Kampagne zum Einsatz kamen. Während „e.js“ die Weiterleitung eingehender E-Mails an eine externe Adresse einrichtet und Adressbücher sowie Cookies überträgt, nutzt „q.js“ eine SQL-Injection-Lücke zur Datenabfrage aus der Roundcube-Datenbank. „c.js“ wiederum ermöglicht es den Angreifern, beliebige Befehle auf dem Mailserver auszuführen. Insgesamt wurden mehr als 40 ukrainische Organisationen mit dieser Masche angegriffen.

CERT-UA rät ukrainischen Behörden und Unternehmen zu erhöhter Wachsamkeit. Insbesondere der Netzwerkverkehr zu den Domains „app.koofr.net“ und „api.icedrive.net“ sollte überwacht werden, da diese Dienste aktiv für die Kommunikation der Schadsoftware genutzt werden. Zudem ist es dringend erforderlich, veraltete Webmail-Systeme auf den neuesten Stand zu bringen und Makroausführung in Office-Dokumenten zu unterbinden.

Fazit

Die aktuelle Angriffswelle zeigt, mit welcher Raffinesse staatlich unterstützte Hackergruppen wie APT28 arbeiten. Die Kombination aus verschlüsselter Kommunikation über Signal, Zero-Day-ähnlichen Angriffen auf Webmail-Software und der Entwicklung spezialisierter Schadsoftware verdeutlicht das hohe Bedrohungspotenzial – potenziell auch für andere europäische Länder.