UAC-0063 weitet Cyberangriffe auf europäische Botschaften aus
Die Hackergruppe UAC-0063 verfolgt eine fiese Strategie: Sie kapert echte Dokumente aus einem gehackten System, um damit neue Ziele anzugreifen und dort die gefährliche Schadsoftware HATVIBE unbemerkt einzuschleusen.
„Diese Untersuchung gibt einen genaueren Einblick in die Aktivitäten von UAC-0063 und zeigt, dass die Gruppe ihre Angriffe über Zentralasien hinaus ausweitet. Sie nimmt nun auch Botschaften in mehreren europäischen Ländern ins Visier, darunter Deutschland, das Vereinigte Königreich, die Niederlande, Rumänien und Georgien“, erklärt Martin Zugec, Director Technical Solutions bei Bitdefender, in einem aktuellen Bericht.
Der rumänische Sicherheitsanbieter Bitdefender entdeckte die Hackergruppe UAC-0063 erstmals im Mai 2023. Damals zielte sie mit der Spionagesoftware DownEx (auch bekannt als STILLARCH) auf Regierungsorganisationen in Zentralasien. Experten vermuten, dass die Gruppe Verbindungen zur russischen, staatlich unterstützten Hackerorganisation APT28 hat.
Spuren deuten auf Russland als Ausgangspunkt
Nur wenige Wochen nach der Entdeckung meldete das Computer Emergency Response Team der Ukraine (CERT-UA), dass UAC-0063 bereits seit mindestens 2021 aktiv ist. In der Ukraine griff sie staatliche Einrichtungen mit verschiedenen Schadprogrammen an, darunter der Keylogger LOGPIE, der HTML-Anwendungslader HATVIBE, die Python-Backdoor CHERRYSPY (auch bekannt als DownExPyer) und die Spionagesoftware DownEx.
Laut der Insikt Group von Recorded Future, die UAC-0063 unter dem Namen TAG-110 führt, hat die Gruppe nicht nur in Zentralasien, sondern auch in Ostasien und Europa Regierungsorganisationen und Bildungseinrichtungen ins Visier genommen.
Anfang dieses Monats berichtete das Cybersicherheitsunternehmen Sekoia, dass die Hackergruppe eine neue Angriffswelle gestartet hat. Dabei nutzten sie gestohlene Dokumente des Außenministeriums von Kasachstan, um gezielte Phishing-Angriffe durchzuführen und die Schadsoftware HATVIBE zu verbreiten.
Die neuesten Erkenntnisse von Bitdefender zeigen, dass diese Strategie fortgesetzt wird. Die Hacker dringen in Systeme ein, um anschließend weitere Schadsoftware einzuschleusen. Dazu gehören die Spionagesoftware DownEx, die Backdoor DownExPyer und ein neu entdecktes USB-Programm zur Datenentwendung mit dem Namen PyPlunderPlug. Mindestens ein solcher Angriff richtete sich Mitte Januar 2023 gegen ein deutsches Unternehmen.
DownExPyer: Spionagesoftware mit vielseitigen Funktionen
DownExPyer ist eine Schadsoftware, die dauerhaft mit einem entfernten Server verbunden bleibt, um Befehle zu empfangen. Dadurch kann sie Daten stehlen, Systembefehle ausführen und weitere Schadsoftware installieren. Die wichtigsten Funktionen, die über den Command-and-Control-Server (C2) gesteuert werden, sind:
- A3 – Dateien mit bestimmten Endungen sammeln und an den C2-Server senden
- A4 – Dateien und Tastatureingaben ausspähen, übertragen und anschließend löschen
- A5 – Befehle ausführen (standardmäßig wird „systeminfo“ aufgerufen, um Systeminformationen zu sammeln)
- A6 – Das Dateisystem durchsuchen
- A7 – Screenshots anfertigen
- A11 – Einen laufenden Prozess beenden
„Die Funktionen von DownExPyer haben sich in den letzten zwei Jahren kaum verändert. Das zeigt, dass die Schadsoftware ausgereift ist und wahrscheinlich schon seit Jahren von UAC-0063 genutzt wird“, so Zugec. „Diese Stabilität deutet darauf hin, dass DownExPyer bereits vor 2022 entwickelt und aktiv eingesetzt wurde.“
Bitdefender entdeckt weiteres Spionagetool in UAC-0063-Angriffen
Bitdefender hat zudem ein Python-Skript entdeckt, das Tastatureingaben aufzeichnet – vermutlich ein früheres Stadium der späteren Schadsoftware LOGPIE. Dieses Skript wurde auf einem der kompromittierten Rechner gefunden, der mit DownEx, DownExPyer und HATVIBE infiziert war.
„UAC-0063 ist ein Beispiel für eine hoch entwickelte Hackergruppe mit fortschrittlichen Fähigkeiten, die gezielt Regierungsorganisationen angreift“, so Zugec abschließend. „Ihr Arsenal, darunter raffinierte Spionagetools wie DownExPyer und PyPlunderPlug, kombiniert mit ausgefeilten Angriffstechniken, zeigt eine klare Fokussierung auf Spionage und Geheimdienstoperationen. Die gezielten Angriffe auf Regierungsbehörden in bestimmten Regionen deuten auf mögliche strategische Interessen Russlands hin.“