Home » News » Cybersecurity » Russische Hackergruppe APT28 wieder in Ukraine aktiv

Russische Hackergruppe APT28 wieder in Ukraine aktiv

Eine neue Kampagne der russischen Hackergruppe APT28 nimmt die Ukraine ins Visier. Sie verteilt Malware, die in Browsern gespeicherte Anmeldeinformationen stiehlt.

1 Min. Lesezeit
Foto: ©AdobeStock/martialred

Eine neue Kampagne der russischen Hackergruppe APT28 nimmt die Ukraine ins Visier. Sie verteilt Malware, die in Browsern gespeicherte Anmeldeinformationen stiehlt.

Bei APT28 (auch bekannt unter Sofacy Group oder Fancy Bear) handelt es sich um eine berüchtigte russische Bedrohungsgruppe, die seit mindestens 2004 aktiv ist und hauptsächlich Informationen für die russische Regierung und den russischen Geheimdienst sammelt. Das Threat Intelligence Team von Malwarebytes identifizierte jetzt ein Dokument, das mit dem Exploit Follina (CVE-2022-30190) als Waffe eingesetzt wurde, um einen neuen .NET-Stealer herunterzuladen und auszuführen. Follina ist eine kürzlich entdeckte Zero-Day-Schwachstelle, die das ms-msdt-Protokoll nutzt, um beim Öffnen von Word-Dokumenten bösartigen Code zu laden. Die Forscher haben nun zum ersten Mal beobachtet, dass APT28 Follina für seine Operationen nutzte.

In der Kampagne verbreitet ATP28 ein bösartiges Dokument mit dem Dateinamen „Nuclear Terrorism A Very Real Threat.rtf“. Inhalt ist ein Artikel des Atlantic Council mit der Headline „Wird Putin in der Ukraine Atomwaffen einsetzen? Unsere Experten beantworten drei brennende Fragen“, der am 10. Mai 2022 veröffentlicht wurde. ATP28 nutzt Befürchtungen von Bürgern aus, dass die Invasion in der Ukraine in einen nuklearen Konflikt münden könnte. Bei dem Malware-Dokument handelt es sich um eine RTF-Datei, die am 10. Juni 2022 kompiliert wurde. Dies lässt darauf schließen, dass der Angriff etwa zur gleichen Zeit stattgefunden hat.

Das Hauptziel des Stealers besteht darin, Daten aus mehreren gängigen Browsern zu stehlen. Auch wenn das Plündern von Browsern wie ein kleiner Diebstahl aussehen mag, sind Anmeldedaten der Schlüssel zum Zugriff auf Geheimdienst- und andere sensible Informationen. Das Ziel und die Beteiligung von APT28 legen nahe, dass die Kampagne Teil des Konflikts in der Ukraine ist, oder zumindest mit der Außenpolitik und den militärischen Zielen des russischen Staates in Verbindung stehen könnte.

Mehr zum Dokument sowie über die Hauptziele des Stealers gibt es hier.

Quelle: Malwarebytes

Malwarebytes identifizierte ein Dokument, das mit dem Exploit Follina als Waffe von ATP28 eingesetzt wurde. Der Köder lautete: „Wird Putin in der Ukraine Atomwaffen einsetzen?“

Andere interessante News

BSI aktualisiert Handbuch „Management von Cyber-Risiken“

Cyber-Sicherheit für das Management: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Handbuch „Management von Cyber-Risiken" umfassend aktualisiert. Cyber-Angriffe auf Unternehmen sind an der Tagesordnung, die Bedrohungslage ist so hoch wie nie zuvor. Unternehmensleitungen müssen sich dessen bewusst sein und Cyber-Sicherheit zu einem festen Bestandteil des Risikomanagements machen.

Totgeglaubte leben länger: USB-Wurm ist wieder da

Die altbekannte Methode, einen USB-Stick mit Schadsoftware auf Parkplätzen auszulegen, ist zurück. Die neue Version verbreitet sich also wie ehemals über USB-Laufwerke, nutzt jetzt aber eine legitime ausführbare Datei, die sie nach dem Einstecken in einen USB-Port sofort in das Zielnetzwerk einschleust. Der Wurm trat jetzt erstmals im August 2022 in Papua-Neuguinea auf und breitet sich seitdem immer weiter aus.

Treuhänder im Darknet pfeifen auf Ehrenkodex

Im Darknet agierende Cyberkriminelle hegen Besorgnis hinsichtlich ihrer eigenen Sicherheit und möchten keinesfalls zum Opfer ihrer "Kollegen" werden. Deshalb greifen sie bei Geschäftsabschlüssen wie dem Erwerb von Datenbanken, Konten oder Unternehmenszugängen auf die Dienste von Vermittlern zurück, um sich abzusichern. „Bedauerlicherweise“ für die Kriminellen stellt sich jedoch heraus, dass selbst diese Treuhänder keine Garantie gegen Betrug bieten.