KIEW / MÜNCHEN (IT BOLTWISE) – In einem beunruhigenden Bericht über die jüngsten Cyberangriffe in der Ukraine wird die raffinierte Taktik der russischen Hackergruppe Secret Blizzard enthüllt. Diese Gruppe, auch bekannt als Turla, hat sich auf die Nutzung von Malware-as-a-Service spezialisiert, um gezielte Angriffe auf die ukrainische Militärinfrastruktur durchzuführen.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die russische Hackergruppe Secret Blizzard, die auch unter dem Namen Turla bekannt ist, hat erneut ihre Fähigkeit unter Beweis gestellt, bestehende Cybercrime-Infrastrukturen für ihre eigenen Zwecke zu nutzen. Jüngste Berichte zeigen, dass die Gruppe die Amadey-Malware-as-a-Service-Plattform verwendet hat, um den Kazuar-Backdoor auf gezielt ausgewählten Systemen in der Ukraine zu installieren. Diese Systeme sind hauptsächlich mit dem ukrainischen Militär verbunden und wurden zwischen März und April 2024 angegriffen.
Secret Blizzard ist bekannt für ihre ausgeklügelten Cyberangriffe, die oft auf Regierungsbehörden und Verteidigungsunternehmen weltweit abzielen. Die Gruppe hat eine Geschichte der Nutzung von Techniken wie Adversary-in-the-Middle-Angriffen und strategischen Webkompromittierungen, um langfristigen Zugang zu sensiblen Informationen zu erhalten. Diese jüngsten Aktivitäten zeigen, dass sie auch nicht davor zurückschrecken, die Infrastruktur anderer Hackergruppen zu kapern, um ihre eigenen Operationen zu verschleiern.
Die Verwendung von Amadey als Plattform für den Angriff ist besonders bemerkenswert, da es Secret Blizzard ermöglicht, ihre Angriffe zu diversifizieren und gleichzeitig die eigene Beteiligung zu verschleiern. Die Gruppe hat entweder die Amadey-Malware-as-a-Service-Plattform genutzt oder sich unbemerkt Zugang zu den Command-and-Control-Panels von Amadey verschafft, um ihre eigenen Schadprogramme auf die Zielsysteme herunterzuladen.
Ein zentraler Bestandteil des Angriffs ist der Einsatz eines PowerShell-Droppers, der eine Base64-kodierte Amadey-Nutzlast enthält. Diese Nutzlast ist mit einem Code-Segment versehen, das eine Verbindung zu einem Turla-Command-and-Control-Server herstellt. Dies deutet darauf hin, dass Secret Blizzard möglicherweise nicht die volle Kontrolle über die Amadey-Infrastruktur hatte und daher auf eigene Mechanismen zurückgreifen musste.
In der nächsten Phase des Angriffs wird ein maßgeschneidertes Erkundungstool heruntergeladen, um Details über das Opfergerät zu sammeln. Dies könnte auch dazu dienen, zu überprüfen, ob Microsoft Defender aktiviert ist, um gezielt Systeme anzugreifen, die von besonderem Interesse sind. Anschließend wird ein PowerShell-Dropper eingesetzt, der den Tavdig-Backdoor und eine legitime, aber anfällige Symantec-Binärdatei enthält, die für DLL-Side-Loading anfällig ist.
Die Untersuchung, wie Secret Blizzard die Kontrolle über die Backdoor von Storm-1837 oder die Amadey-Bots erlangt hat, ist noch im Gange. Diese Taktik, die auf die Nutzung von Zugängen anderer Akteure setzt, verdeutlicht die Strategie der Gruppe, ihre Spionagekampagnen zu verschleiern und die Zuordnung zu erschweren. Experten betonen, dass solche Techniken zwar nicht ungewöhnlich sind, die Nutzung fremder Infrastrukturen jedoch selten beobachtet wird.
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Geheime Cyberangriffe: Russische Hacker nutzen Malware-as-a-Service in der Ukraine".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Geheime Cyberangriffe: Russische Hacker nutzen Malware-as-a-Service in der Ukraine" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Geheime Cyberangriffe: Russische Hacker nutzen Malware-as-a-Service in der Ukraine" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.