Eine aktuelle Analyse der Cybersicherheitsunternehmen Symantec und Carbon Black zeigt, dass mit Russland verbundene Bedrohungsakteure ausgeklügelte Kampagnen gegen ukrainische Unternehmen durchgeführt haben, indem sie sich auf Techniken zum Leben vom Land und minimaler Malware verlassen haben. Den Ergebnissen zufolge zielten diese Operationen zwei Monate lang auf eine große Unternehmensdienstleistungsorganisation und eine Woche lang auf eine lokale Regierungsbehörde ab.
Die Angriffe begannen mit der Bereitstellung von Web-Shells auf öffentlich zugänglichen Servern innerhalb des Netzwerks der Unternehmensorganisation, wahrscheinlich nach der Ausnutzung einer oder mehrerer ungepatchter Schwachstellen. Sobald der Zugriff eingerichtet war, verwendeten die Angreifer native Tools wie PowerShell, um der Erkennung zu entgehen, indem sie geplante Aufgaben einrichteten und alle dreißig Minuten Speicherabbilder erstellten.
Zu den von den Eindringlingen verwendeten Tools gehörte “LocalOlive”, eine Web-Shell, die zuvor einer Untergruppe des mit Russland verbundenen Sandworm-Teams im Rahmen der sogenannten BadPilot-Kampagne zugeschrieben wurde. Trotz dieser Verbindung haben die Forscher noch keinen endgültigen Beweis dafür gefunden, dass die Kampagne Teil der Aktivitäten von Sandworm ist.
Die Angreifer führten auch Befehle aus, um laufende Prozesse aufzulisten, die mit “kee” beginnen, was darauf hindeutet, dass sie wahrscheinlich auf den Tresor des KeePass-Passwort-Managers abzielten. Dann installierten sie Software wie OpenSSH, änderten die Regeln für den Netzwerkverkehr, erstellten geplante Aufgaben für Hintertüren und führten ein legitimes Router-Management-Tool namens “winbox64.exe” ein, um bösartige Aktivitäten zu verschleiern.
Diese Operation reiht sich in ein breiteres Muster russischer E-Kriminalität ein, bei dem Bedrohungsakteure nur minimale Fußabdrücke verwenden und sich stark auf legitime Systemtools verlassen, anstatt auf offensichtliche Malware. Das Ziel scheint eher ein dauerhafter Zugriff und Datendiebstahl als eine unmittelbare Störung zu sein. Die Forscher beschreiben, wie Angreifer ihr tiefes Wissen über das Windows-Ökosystem nutzen können, um einzudringen, sich seitlich zu bewegen, Anmeldeinformationen zu stehlen und der Entdeckung über längere Zeiträume zu entgehen.
Der Bericht stellt fest, dass eine der größten Herausforderungen bei der Reaktion auf solche Angriffe die Verwendung nativer Dienstprogramme anstelle von benutzerdefinierten Exploit-Binärdateien ist. Wenn Vorgänge mit Tools ausgeführt werden, die bereits in der Umgebung vorhanden sind, können sie viele herkömmliche Endpunktsicherheitslösungen umgehen, die sich auf die Erkennung externer Bedrohungen oder bekannter Malware konzentrieren.
Während die Analyse keinen bestimmten kriminellen Akteur oder eine Bedrohungsgruppe mit Sicherheit identifizieren konnte, deuten die Beweise darauf hin, dass wahrscheinlich eine in Russland ansässige Organisation oder zumindest eine, die von dieser Region aus operiert, hinter der Kampagne steckt. Experten warnen davor, dass diese Bedrohungsakteure mit zunehmendem Druck auf Strafverfolgungsbehörden und Geheimdienste zunehmend wie Unternehmen agieren, Dual-Use-Tools verwenden und nur minimale Fußabdrücke anwenden, um unter den Erkennungsschwellen zu bleiben.
Für Unternehmen, die in der Ukraine und darüber hinaus tätig sind, unterstreicht der Vorfall, wie wichtig es ist, die Nutzung nativer Tools zu überwachen, geplante Aufgaben zu überprüfen und Fernzugriffsprotokolle zu überwachen. Verteidigungsteams müssen davon ausgehen, dass sich Angreifer möglicherweise bereits in ihren Netzwerken befinden und legitime Systemtools verwenden, um Daten abzutasten und sich unauffällig zu bewegen. Die Durchführung eines schnellen Schwachstellenmanagements, einer Verhaltensüberwachung und einer erweiterten Protokollierung ist unerlässlich, um diese unauffälligen Kampagnen zu verhindern oder zu erkennen.
Diese Ergebnisse kommen zu einem Zeitpunkt, an dem sich die Cyber-Bedrohungslandschaft weiterentwickelt und sich zunehmend zwischen nationalstaatlichen Operationen und organisierter Kriminalität überschneidet. Obwohl sich diese spezielle Kampagne eher auf Diebstahl als auf unmittelbare Sabotage zu konzentrieren scheint, könnten die gleichen Taktiken auf kritische Infrastrukturen, Lieferketten oder Sektoren angewendet werden, in denen dauerhafter Zugriff sehr geschätzt wird.
Site Disclaimer
2-remove-virus.com is not sponsored, owned, affiliated, or linked to malware developers or distributors that are referenced in this article. The article does not promote or endorse any type of malware. We aim at providing useful information that will help computer users to detect and eliminate the unwanted malicious programs from their computers. This can be done manually by following the instructions presented in the article or automatically by implementing the suggested anti-malware tools.
The article is only meant to be used for educational purposes. If you follow the instructions given in the article, you agree to be contracted by the disclaimer. We do not guarantee that the artcile will present you with a solution that removes the malign threats completely. Malware changes constantly, which is why, in some cases, it may be difficult to clean the computer fully by using only the manual removal instructions.