Geheime Cyberangriffe: Russische Hacker nutzen Malware-as-a-Service in der Ukraine

KIEW / MÜNCHEN (IT BOLTWISE) – In einem beunruhigenden Bericht über die jüngsten Cyberangriffe in der Ukraine wird die raffinierte Taktik der russischen Hackergruppe Secret Blizzard enthüllt. Diese Gruppe, auch bekannt als Turla, hat sich auf die Nutzung von Malware-as-a-Service spezialisiert, um gezielte Angriffe auf die ukrainische Militärinfrastruktur durchzuführen.

Die russische Hackergruppe Secret Blizzard, die auch unter dem Namen Turla bekannt ist, hat erneut ihre Fähigkeit unter Beweis gestellt, bestehende Cybercrime-Infrastrukturen für ihre eigenen Zwecke zu nutzen. Jüngste Berichte zeigen, dass die Gruppe die Amadey-Malware-as-a-Service-Plattform verwendet hat, um den Kazuar-Backdoor auf gezielt ausgewählten Systemen in der Ukraine zu installieren. Diese Systeme sind hauptsächlich mit dem ukrainischen Militär verbunden und wurden zwischen März und April 2024 angegriffen.

Secret Blizzard ist bekannt für ihre ausgeklügelten Cyberangriffe, die oft auf Regierungsbehörden und Verteidigungsunternehmen weltweit abzielen. Die Gruppe hat eine Geschichte der Nutzung von Techniken wie Adversary-in-the-Middle-Angriffen und strategischen Webkompromittierungen, um langfristigen Zugang zu sensiblen Informationen zu erhalten. Diese jüngsten Aktivitäten zeigen, dass sie auch nicht davor zurückschrecken, die Infrastruktur anderer Hackergruppen zu kapern, um ihre eigenen Operationen zu verschleiern.

Die Verwendung von Amadey als Plattform für den Angriff ist besonders bemerkenswert, da es Secret Blizzard ermöglicht, ihre Angriffe zu diversifizieren und gleichzeitig die eigene Beteiligung zu verschleiern. Die Gruppe hat entweder die Amadey-Malware-as-a-Service-Plattform genutzt oder sich unbemerkt Zugang zu den Command-and-Control-Panels von Amadey verschafft, um ihre eigenen Schadprogramme auf die Zielsysteme herunterzuladen.

Ein zentraler Bestandteil des Angriffs ist der Einsatz eines PowerShell-Droppers, der eine Base64-kodierte Amadey-Nutzlast enthält. Diese Nutzlast ist mit einem Code-Segment versehen, das eine Verbindung zu einem Turla-Command-and-Control-Server herstellt. Dies deutet darauf hin, dass Secret Blizzard möglicherweise nicht die volle Kontrolle über die Amadey-Infrastruktur hatte und daher auf eigene Mechanismen zurückgreifen musste.

In der nächsten Phase des Angriffs wird ein maßgeschneidertes Erkundungstool heruntergeladen, um Details über das Opfergerät zu sammeln. Dies könnte auch dazu dienen, zu überprüfen, ob Microsoft Defender aktiviert ist, um gezielt Systeme anzugreifen, die von besonderem Interesse sind. Anschließend wird ein PowerShell-Dropper eingesetzt, der den Tavdig-Backdoor und eine legitime, aber anfällige Symantec-Binärdatei enthält, die für DLL-Side-Loading anfällig ist.

Die Untersuchung, wie Secret Blizzard die Kontrolle über die Backdoor von Storm-1837 oder die Amadey-Bots erlangt hat, ist noch im Gange. Diese Taktik, die auf die Nutzung von Zugängen anderer Akteure setzt, verdeutlicht die Strategie der Gruppe, ihre Spionagekampagnen zu verschleiern und die Zuordnung zu erschweren. Experten betonen, dass solche Techniken zwar nicht ungewöhnlich sind, die Nutzung fremder Infrastrukturen jedoch selten beobachtet wird.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.958 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen