Gamaredon: Cyberangriffe auf die Ukraine mit LNK-Dateien

MÜNCHEN (IT BOLTWISE) – Inmitten der anhaltenden geopolitischen Spannungen in der Ukraine hat die Hackergruppe Gamaredon eine neue Cyberkampagne gestartet, die sich gezielt gegen ukrainische Nutzer richtet.

Die Hackergruppe Gamaredon hat eine neue Cyberkampagne gestartet, die sich gezielt gegen ukrainische Nutzer richtet. Diese Kampagne nutzt bösartige LNK-Dateien, um das Remcos-Backdoor zu verbreiten. Seit mindestens November 2024 aktiv, setzt die Gruppe auf Spear-Phishing-Taktiken, um Opfer mit Themen rund um den Ukraine-Konflikt zu ködern. Die LNK-Dateien, die als Office-Dokumente getarnt sind, werden in ZIP-Archiven verteilt und tragen Dateinamen, die sich auf Truppenbewegungen und andere kriegsbezogene Themen beziehen.

Der Angriff beginnt mit der Ausführung eines PowerShell-Downloaders, der in der LNK-Datei eingebettet ist. Dieser Downloader kontaktiert geografisch begrenzte Server in Russland und Deutschland, um eine zweite ZIP-Nutzlast mit dem Remcos-Backdoor abzurufen. Die heruntergeladene Nutzlast verwendet DLL-Sideloading-Techniken, um das Backdoor auszuführen, eine Methode, die es Angreifern ermöglicht, traditionelle Erkennungsmechanismen zu umgehen.

Gamaredons Phishing-E-Mails enthalten wahrscheinlich entweder direkte Anhänge der ZIP-Dateien oder URLs, die Opfer zum Herunterladen weiterleiten. Die Dateinamen der Kampagne, wie „Koordinaten feindlicher Starts für 8 Tage“ oder „Positionen des Feindes im Westen und Südwesten“, deuten auf einen bewussten Versuch hin, sensible geopolitische Themen auszunutzen. Metadatenanalysen zeigen, dass nur zwei Maschinen zur Erstellung dieser bösartigen Verknüpfungsdateien verwendet wurden, was mit Gamaredons operativen Mustern aus früheren Kampagnen übereinstimmt.

Die in den LNK-Dateien eingebetteten PowerShell-Skripte verwenden Verschleierungstechniken, um Antiviren-Erkennung zu umgehen. Nach der Ausführung laden diese Skripte die ZIP-Nutzlast in den %TEMP%-Ordner herunter und extrahieren sie. Die Nutzlast enthält saubere Binärdateien, die bösartige DLLs laden, welche das endgültige Remcos-Backdoor-Payload entschlüsseln und ausführen. Dieses Backdoor wird in Explorer.exe injiziert und kommuniziert mit Command-and-Control-Servern, die hauptsächlich in Deutschland und Russland gehostet werden.

Die Command-and-Control-Server der Kampagne werden von Internetdienstanbietern wie GTHost und HyperHosting gehostet. Bemerkenswert ist, dass Gamaredon den Zugriff auf diese Server basierend auf dem geografischen Standort einschränkt und sie auf ukrainische Opfer beschränkt. Reverse-DNS-Aufzeichnungen einiger dieser Server enthüllen einzigartige Artefakte, die Forschern geholfen haben, zusätzliche IP-Adressen zu identifizieren, die mit dieser Operation in Verbindung stehen.

Das Remcos-Backdoor selbst bietet Angreifern robuste Fähigkeiten zur Fernsteuerung, einschließlich Datenexfiltration und Systemmanipulation. Cisco Talos hat Beweise dafür beobachtet, dass saubere Anwendungen wie TivoDiag.exe während dieser Kampagne für DLL-Sideloading missbraucht werden. Gamaredons Einsatz fortschrittlicher Techniken wie DLL-Sideloading, geografisch begrenzter Infrastruktur und thematischer Phishing-Angriffe unterstreicht seine Beharrlichkeit bei der Zielsetzung der Ukraine inmitten anhaltender geopolitischer Spannungen.

Organisationen wird geraten, wachsam gegenüber solchen Bedrohungen zu bleiben, indem sie robuste Endpunktschutz-, E-Mail-Sicherheitsmaßnahmen und Netzwerküberwachungslösungen implementieren. Indikatoren für Kompromittierungen (IOCs) für diese Bedrohung können in unserem GitHub-Repository gefunden werden.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!