Cyberangriffe auf ukrainische Institutionen: GIFTEDCROOK im Einsatz

KIEW / MÜNCHEN (IT BOLTWISE) – Die jüngsten Cyberangriffe auf ukrainische Institutionen zeigen erneut die Bedrohung durch gezielte Malware-Attacken. Besonders betroffen sind militärische und behördliche Einrichtungen nahe der östlichen Grenze der Ukraine.

Die Computer Emergency Response Team der Ukraine (CERT-UA) hat eine neue Welle von Cyberangriffen aufgedeckt, die sich gegen ukrainische Institutionen richten. Diese Angriffe zielen insbesondere auf militärische Formationen, Strafverfolgungsbehörden und lokale Selbstverwaltungsorgane ab, die sich in der Nähe der östlichen Grenze der Ukraine befinden. Die Angreifer nutzen dabei Phishing-E-Mails, die mit Makros versehene Microsoft Excel-Dateien enthalten. Sobald diese geöffnet werden, wird die Ausführung von zwei Malware-Komponenten ermöglicht: einem PowerShell-Skript, das einen Reverse Shell öffnet, und einem bisher unbekannten Stealer namens GIFTEDCROOK.

GIFTEDCROOK ist in C/C++ geschrieben und spezialisiert sich auf den Diebstahl sensibler Daten aus Webbrowsern wie Google Chrome, Microsoft Edge und Mozilla Firefox. Dazu gehören Cookies, Browserverläufe und Authentifizierungsdaten. Die Phishing-E-Mails werden von kompromittierten Konten gesendet, um den Anschein von Legitimität zu erwecken und potenzielle Opfer dazu zu verleiten, die Dokumente zu öffnen. CERT-UA hat diese Aktivitäten einer Bedrohungsgruppe namens UAC-0226 zugeordnet, ohne jedoch eine spezifische nationale Herkunft zu benennen.

Parallel dazu wurde eine weitere Phishing-Kampagne identifiziert, die europäische Regierungs- und Militäreinrichtungen ins Visier nimmt. Diese Kampagne, die von einem mutmaßlich russischen Spionageakteur namens UNC5837 durchgeführt wird, nutzt signierte .RDP-Dateianhänge, um Remote-Desktop-Protokoll-Verbindungen von den Maschinen der Opfer herzustellen. Anders als bei typischen RDP-Angriffen wird hier die Ressourcenumleitung und RemoteApps genutzt, um Angreifer-kontrollierte Anwendungen den Opfern zu präsentieren.

Diese RDP-Kampagne wurde bereits von CERT-UA, Amazon Web Services und Microsoft dokumentiert und wird unter dem Namen UAC-0215 verfolgt. Andere Quellen haben sie der russischen staatlich geförderten Hackergruppe APT29 zugeschrieben. Bemerkenswert ist der Einsatz eines Open-Source-Tools namens PyRDP, das automatisierte bösartige Aktivitäten wie Dateiexfiltration und das Erfassen von Zwischenablagedaten ermöglicht.

In den letzten Monaten wurden auch Phishing-Kampagnen beobachtet, die gefälschte CAPTCHAs und Cloudflare Turnstile verwenden, um den Legion Loader zu verbreiten. Dieser dient als Brücke, um eine bösartige Chromium-basierte Browsererweiterung namens “Save to Google Drive” zu installieren. Der Angriff beginnt mit einem Drive-by-Download, der durch die Suche nach einem bestimmten Dokument ausgelöst wird und das Opfer auf eine bösartige Website lockt.

Die heruntergeladene Datei enthält ein CAPTCHA, das, sobald es vom Opfer angeklickt wird, zu einem Cloudflare Turnstile CAPTCHA und schließlich zu einer Benachrichtigungsseite weiterleitet. Diese Seite fordert die Benutzer auf, Benachrichtigungen zuzulassen, woraufhin sie zu einem weiteren CAPTCHA umgeleitet werden, das schließlich zu einer Seite führt, die Anweisungen zum Herunterladen des gesuchten Dokuments gibt. Tatsächlich ebnet der Angriff den Weg für die Ausführung einer MSI-Installationsdatei, die für das Starten des Legion Loaders verantwortlich ist.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

2.004 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen