Vom Kreml unterstützte Malware-Kampagne attackiert polnische Einrichtungen
Polnische Regierungseinrichtungen waren Ziel einer groß angelegten Malware-Kampagne der Gruppe APT28.
Das Computer-Emergency-Response-Team CERT Polska berichtete, dass die Kampagne E-Mails mit interessanten Inhalten verschickte, um die Empfänger dazu zu bringen, auf einen Link zu klicken. Wenn das Opfer auf den Link klickt, wird es zuerst auf die Domain run.mocky[.]io und dann auf die legitime Website webhook[.]site weitergeleitet. Webhook[.]site ist ein kostenloser Dienst, mit dem Entwickler Daten überprüfen können, die über einen Webhook gesendet werden, was die Entdeckung der Attacke erschwert.
Im nächsten Schritt wird eine ZIP-Datei von webhook[.]site heruntergeladen. Diese Datei enthält die Windows Calculator-Anwendung, die als JPG-Bilddatei („IMG-238279780.jpg.exe“), ein verstecktes Batch-Skript und eine versteckte DLL-Datei („WindowsCodecs.dll“) getarnt ist.
Wenn das Opfer die Anwendung startet, wird die bösartige DLL-Datei durch eine Technik namens DLL-Side-Loading geladen. Dies führt zur Ausführung eines Batch-Skripts, während in einem Webbrowser Bilder einer „Frau im Badeanzug“ zusammen mit Links zu ihren echten Social-Media-Konten angezeigt werden, um die Täuschung aufrechtzuerhalten.
Gleichzeitig lädt das Batch-Skript ein JPG-Bild („IMG-238279780.jpg“) von webhook[.]site herunter, das dann in ein CMD-Skript („IMG-238279780.cmd“) umbenannt und ausgeführt wird. Dieses Skript ruft die endgültige Nutzlast ab, sammelt Informationen über den infizierten Computer und sendet die Daten zurück.
Laut CERT Polska weist die jüngste Angriffskette Ähnlichkeiten mit einer früheren Kampagne auf, die die benutzerdefinierte Backdoor namens HeadLace verbreitete.
Der Missbrauch legitimer Dienste wie Mocky und webhook[.]site ist eine bekannte Taktik der APT28-Gruppe, um Sicherheitssoftware zu umgehen. „Wenn Ihre Organisation diese Dienste nicht nutzt, empfehlen wir, die genannten Domains auf Edge-Geräten zu blockieren“, rät CERT Polska. „Unabhängig von der Nutzung dieser Websites sollten E-Mails nach Links zu webhook.site und run.mocky.io gefiltert werden, da deren legitime Nutzung in E-Mail-Inhalten sehr selten ist.“
Diese Entwicklungen kommen kurz nachdem NATO-Länder die vom Kreml unterstützte Gruppe beschuldigt haben, eine langfristige Cyberspionage-Kampagne gegen politische Einrichtungen, staatliche Institutionen und kritische Infrastrukturen durchzuführen.
APT28 hat auch iOS-Geräte ins Visier genommen, wobei die Spionagesoftware XAgent eine Schlüsselrolle spielt. Diese Software wurde erstmals von Trend Micro im Februar 2015 im Rahmen der Operation Pawn Storm beschrieben. „XAgent zielt in erster Linie auf politische und staatliche Einrichtungen in Westeuropa ab und verfügt über Fernsteuerungs- und Datenexfiltrationsfähigkeiten“, so Symantec, ein Unternehmen von Broadcom. „Sie kann Informationen über Kontakte, Nachrichten, Gerätedetails, installierte Anwendungen, Screenshots und Anrufaufzeichnungen sammeln, die für Social-Engineering- oder Spear-Phishing-Kampagnen genutzt werden können.“
Die Angriffe von APT28 auf polnische Unternehmen erfolgen parallel zu einer Zunahme finanziell motivierter Angriffe russischer E-Kriminalitätsgruppen wie UAC-0006, die in der zweiten Jahreshälfte 2023 die Ukraine ins Visier nahmen. Gleichzeitig wurden Organisationen in Russland und Weißrussland von einem staatlichen Akteur namens Midge angegriffen, um Malware zu verbreiten, die sensible Informationen ausspähen kann.