Gamaredon-Gruppe startet Cyberangriffe gegen die Ukraine über Telegram

Die russische staatlich geförderte Cyberspionagegruppe Gamaredon hat ihren digitalen Angriff auf die Ukraine fortgesetzt. Die jüngsten Angriffe nutzten die beliebte Messaging-App Telegram, um das Militär und die Strafverfolgungsbehörden des Landes anzugreifen.

"Die Netzwerkinfrastruktur der Gamaredon-Gruppe stützt sich auf mehrstufige Telegram-Konten zur Erstellung von Opferprofilen und zur Bestätigung des geografischen Standorts und führt das Opfer schließlich zum Server der nächsten Stufe für die endgültige Nutzlast", so das BlackBerry Research and Intelligence Team in einem Bericht, der The Hacker News vorliegt. "Diese Art von Technik, um Zielsysteme zu infizieren, ist neu".

Gamaredon, auch bekannt unter Namen wie Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa und Winterflounder, ist seit mindestens 2013 für seine Angriffe auf ukrainische Einrichtungen bekannt.

Letzten Monat deckte Palo Alto Networks Unit 42 die erfolglosen Versuche des Bedrohungsakteurs auf, in ein nicht genanntes Erdölraffinerieunternehmen in einem NATO-Mitgliedsstaat inmitten des russisch-ukrainischen Krieges einzubrechen.

In den Angriffsketten der Bedrohungsakteure wurden legitime Microsoft Office-Dokumente ukrainischer Regierungsorganisationen als Köder in Spear-Phishing-E-Mails eingesetzt, um Malware zu verbreiten, die vertrauliche Informationen ausspähen kann.

Diese Dokumente laden beim Öffnen eine bösartige Vorlage aus einer entfernten Quelle (eine Technik, die als Remote Template Injection bezeichnet wird) und umgehen so die Notwendigkeit, Makros zu aktivieren, um in Zielsysteme einzudringen und die Infektion zu verbreiten.

Die neuesten Erkenntnisse von BlackBerry zeigen eine Weiterentwicklung der Taktik der Gruppe, bei der ein fest kodierter Telegram-Kanal verwendet wird, um die IP-Adresse des Servers, der die Malware hostet, abzurufen. Die IP-Adressen werden in regelmäßigen Abständen gewechselt, um unbemerkt zu bleiben.

Zu diesem Zweck ist die Remote-Vorlage so konzipiert, dass sie ein VBA-Skript abruft, das eine VBScript-Datei ablegt, die sich dann mit der im Telegram-Kanal angegebenen IP-Adresse verbindet, um die nächste Stufe abzurufen - ein PowerShell-Skript, das sich wiederum an eine andere IP-Adresse wendet, um eine PHP-Datei zu erhalten.

Diese PHP-Datei hat die Aufgabe, einen anderen Telegram-Kanal zu kontaktieren, um eine dritte IP-Adresse abzurufen, die die endgültige Nutzlast enthält. Dabei handelt es sich um eine Malware zum Diebstahl von Informationen, die bereits im September 2022 von Cisco Talos entdeckt wurde.

Es ist auch erwähnenswert, dass das stark verschleierte VBA-Skript nur ausgeliefert wird, wenn sich die IP-Adresse des Ziels in der Ukraine befindet.

"Die Bedrohungsgruppe ändert die IP-Adressen dynamisch, was es noch schwieriger macht, die Analyse mit Hilfe von Sandbox-Techniken zu automatisieren, sobald die Probe veraltet ist", so BlackBerry.

"Die Tatsache, dass sich die verdächtigen IP-Adressen nur während der osteuropäischen Arbeitszeiten ändern, deutet stark darauf hin, dass der Bedrohungsakteur von einem Standort aus arbeitet und mit großer Wahrscheinlichkeit zu einer offensiven Cyber-Einheit gehört, die bösartige Operationen gegen die Ukraine durchführt."

Das Computer Emergency Response Team der Ukraine (CERT-UA) schreibt einen zerstörerischen Malware-Angriff auf die Nationale Nachrichtenagentur der Ukraine der mit Russland verbundenen Hackergruppe Sandworm zu.