Image
Komplexe Cyberspionage im Zuge des Ukraine-Krieges: Bitdefender Labs stellen aktuelle Angriffe des Elephant-Frameworks fest.
Foto: Leo Lintang - stock.adobe.com
Komplexe Cyberspionage im Zuge des Ukraine-Krieges: Bitdefender Labs stellen aktuelle Angriffe des Elephant-Frameworks fest.

IT-Sicherheit

Komplexe Cyberspionage im Zuge des Ukraine-Krieges

Bitdefender Labs stellen aktuelle Angriffe des Elephant-Frameworks fest und decken damit komplexe Cyberspionage im Zuge des Ukraine-Krieges auf.

Der Krieg in der Ukraine ist auch ein Cyberkrieg: Unternehmen in dem angegriffenen Land oder in unterstützenden Nationen mit Verbindung in die Ukraine sind von klassischen IT-Angriffsmechanismen bedroht, deren Urheber diesmal politisch motiviert sind. Zu diesen gehört neben dem Löschen von Informationen die Spionage. Die Bitdefender Labs haben die dafür verwendeten anspruchsvollen Angriffsmechanismen des sogenannten Elephant Framework analysiert.

Threat-Intelligence-Experten und Analysten von Managed-Detection-and-Response-Teams haben seit Ausbruch des Krieges die Cybersicherheitslage beobachtet. Unternehmen und Organisationen in der Ukraine, insbesondere im Bereich Behörden und Kritische Infrastrukturen, sind wie zu erwarten unter den bevorzugten Opfern. Seit März 2021 betreibt etwa die pro-russische UAC-0056-Gruppe aktiv Cyberspionage. Die Gruppe – ebenfalls bekannt unter den Namen Lorec53, UNC2589, Emberbear, Lorecbear, Bleedingbear, Saintbear und TA471 – ist verantwortlich für Angriffe zur Datenexfiltration mit Stealer Malware wie Outsteel oder Graphsteel. Vor allem Graphsteel wendet ein anspruchsvolles Instrumentarium von Techniken an, um Passwörter zu erfahren oder Informationen in den weitverbreiteten Office-Formaten wie .docx oder .xlsx und anderen wichtigen Datentypen wie .ssh, .crt, .key, .ovpn, oder .json zu exfiltrieren.

Komplexität und Professionalität der Cyber-Angriffe

Die Komplexität und Professionalität solcher Angriffe belegen Angriffe mit Graphsteel, deren Urheber höchstwahrscheinlich aus dem Umfeld der UAC-0056-Gruppe stammen. Die Graphsteel-Malware ist Teil des Elephant-Frameworks, einem in der Programmiersprache Go verfassten Malware-Toolset. Die Angreifer setzten sie jüngst in einer Reihe von Phishing-Attacken auf ukrainische Regierungsbehörden (gov.ua-Ziele) ein.

Mehr Malware und Spam durch Ukraine-Krieg

Bitdefender Labs beobachten verstärkten Malware-Versand und Online-Betrug im Zusammenhang mit dem Ukraine-Krieg.
Artikel lesen

Zunächst begannen sie mit einer anspruchsvollen Spearphishing-Attacke. Die Hacker legten eine hohe Expertise bei Social-Engineering-Angriffen an den Tag und nutzten gespoofte ukrainische E-Mail-Adressen. Inhalte der gefälschten Mails waren vermeintliche offizielle Bekanntmachungen oder Themen rund um Corona. In einer Mail warnte der vermeintliche Autor vor einer Zunahme von russischen Cyberangriffen, gab Sicherheitstipps und verwies auf einen vermeintlichen Download einer Bitdefender-Software. Die Opfer kompromittierten ihre Rechner entweder durch einen Klick auf einen Link im Mailtext oder durch das Öffnen einer Excel-Tabelle mit eingebetteten Macros.

Hacker verwenden Python-Script als Launcher

Als Launcher verwenden die Hacker in einigen Fällen ein Python-Script, welches zu einer ausführenden Datei konvertiert worden war. In anderen Fällen verfassten sie den Code – wie im gesamten Elephant-Framework – in der Programmiersprache Go. Bei der Entscheidung spielte vielleicht eine Rolle, dass nicht jede Sicherheitssoftware eine in Go verfasste Malware erkennt. Dies wiederum liegt wohl darin begründet, dass gut- wie böswillige Programmierer Go nicht oft verwenden. Ein weiterer Vorteil der Sprache für die Hacker ist aber, dass der Payload sowohl für Windows wie für Linux kompiliert werden kann, ohne den Code zu ändern. Außerdem ist er einfach anzuwenden und lässt sich um Module von Drittanbieter-Malware erweitern. Der Launcher dient dann als eine Kombination von Downloader oder Dropper und verbindet das Opfer-System mit dem Command-and-Control-Server, um die eigene Verfügbarkeit mitzuteilen und zum gegebenem Zeitpunkt einen ausführbaren Malware-Payload zu empfangen.

Fünf Wege, wie Hacker Rechner mit Ransomware infizieren

Bitdefender schildert fünf typische Wege für erpresserische Angriffe mittels Ransomware – auch auf privat genutzte Rechner. 
Artikel lesen

Downloader mit verschiedenen Malware-Dateien

Der Downloader lädt dann zwei verschiedene Malware-Dateien: Graphsteel (Microsoft-cortana.exe) und Grimplant (Oracle-java.exe), die sich beide automatisch ausführen. Grimplant erlaubt es, remote Powershell-Kommandos auszuführen. Graphsteel entwendet Daten wie Zugangsdaten, Zertifikate, Passwörter oder andere sensible Informationen.

Hauptzweck von Graphsteel ist die Exfiltration von Dateien, welche die Malware dann verschlüsselt mit AES Cipher über Port 442 überträgt. Für die Kommunikation mit dem Command-and-Control-Server nutzt das Tool Websockets und die Graph-QL-Sprache. Der Stealer entwendet Zugangsdaten für Wifi, Chrome, Firefox sowie Daten aus den Passwort-Vaults, dem Windows Credential Manager oder SSH-Sessions und Thunderbird.

Parallele Angriffe mit zwei Payloads nach Download der als Bitdefender-AV-Software getarnten Malware.
Typischer Verlauf eines Angriff auf Basis des Elephant Framework.
Phishing-Mail mit Verweis auf eine vermeintliche Bitdefender.fr-Seite zum Herunterladen einer Software.
Die gespoofte Bitdefender.fr-Website.

Vermeintlich im Namen von Bitdefender – Spoofing der Website

Laut einem Eintrag vom 11. März 2022 im Cert-UA nutzen andere Angriffe aus dem UAC-0056-Umfeld dringende Appelle, die IT-Sicherheit zu erhöhen und ein vermeintliches Bitdefender-Antivirus-Produkt von einer vermeintlichen Bitdefender.fr-Seite herunterzuladen, für ihre Angriffe aus. Hinter Bitdefender.fr verbirgt sich aber die Domain forkscenter.fr mit einer gespooften Bitdefender.fr-Webseite

Diese Attacke installiert zunächst einen Discord-Downloader, der dann zwei ausführbare Dateien implementiert: Zum einem Alt.exe, einen bekannten Go-Launcher, der das Elephant Framework herunterlädt, zum anderen One.Exe, einen Cobalt Strike Beacon. Am Ende wird im letzteren Fall eine cesdf.exe heruntergeladen, die leider zurzeit nicht für eine Analyse vorliegt, weil die Administratoren der angegriffenen Organisation ihren Server mittlerweile abgeschaltet haben.

Derart komplexe Angriffe abzuwehren, erfordert eine gestaffelte Cyber-Sicherheit, die einen Angriff während mehrerer Phasen abwehren kann: Schon beim Abblocken der Phishing-Mail, beim Ausführen des Payloads oder beim Unterbinden der weiteren Kompromittierung und bei der Kommunikation mit dem C-&-C-Server. Die vollständige Analyse der oben beschriebenen Angriffe findet sich online.

Image
Bitdefender Labs beobachten verstärkten Malware- und Spam-Versand sowie Online-Betrug im Zusammenhang mit dem Ukraine-Krieg.
Foto: Natchapon - stock.adobe.com

IT-Sicherheit

Mehr Malware und Spam durch Ukraine-Krieg

Bitdefender Labs beobachten verstärkten Malware-Versand und Online-Betrug im Zusammenhang mit dem Ukraine-Krieg.

Image
Autor Jörg von der Heydt, Regional Director DACH bei Bitdefender, warnt vor zunehmenden Cyberangriffen infolge des Ukrainekrieges.
Foto: Bitdefender

IT-Sicherheit

Cyberangriffe in Zeiten des Ukrainekrieges

Infolge des Ukrainekrieges steigen auch die Gefahren von Cyberangriffen enorm. Eine Abwehr sollte aufgebaut werden, bevor die Angriffe konkret werden.

Image
Wie infizieren Hacker Rechner mit Ransomware?
Foto: Mohammad Rahmani/Unsplash

IT-Sicherheit

Fünf Wege, wie Hacker Rechner mit Ransomware infizieren

Bitdefender schildert fünf typische Wege für erpresserische Angriffe mittels Ransomware – auch auf privat genutzte Rechner. 

Image
Sinan Selen (l.) und Volker Wagner auf der Pressekonferenz der 15. gemeinsamen Sicherheitstagung, die unter dem Thema „Sicherheit in einer komplexen Welt“ stand.
Foto: R. Kranert

Verbände

15. Sicherheitstagung: Sicherheit in einer komplexen Welt

Auf der 15. Sicherheitstagung des BfV und ASW Bundesverbands diskutierten Experten vor aktuellem Hintergrund über Sicherheit in einer komplexen Welt.