Russische APT-Gruppen intensivieren Cyberangriffe auf die Ukraine

Während der Krieg in der Ukraine auf und ab geht, mit den heutigen Waffenstillstandsvereinbarungen und den Bemühungen um eine sichere Evakuierung der Zivilbevölkerung, tobt der Konflikt im Cyberspace immer noch. Berichten der Threat Analysis Group von Google zufolge greifen zwei APTs, die die russische Regierung unterstützen, ukrainische Ziele an, und ein chinesisches Unternehmen nutzt die aktuelle Situation, um europäische Ziele anzugreifen.

Russische und chinesische APTs zielen auf die Ukraine und Europa

Die beiden pro-russischen Einheiten, die Google als Speerspitze der aktuellen Cyberangriffe auf ukrainische Ziele hervorhebt, sind Fancy Bear, auch bekannt als APT28, und Ghostwriter – eine aktive, anhaltende Bedrohungsgruppe, die Ende 2021 mit Weißrussland in Verbindung gebracht wurde.

Google berichtet auch über einen Anstieg der Aktivität des aufgerufenen APTMustang Panda, der mit chinesischen Akteuren in Verbindung gebracht wird. Das chinesische Unternehmen zielt derzeit auf Unternehmen mit Sitz in Europa ab und verwendet Phishing-Köder, die mit dem anhaltenden Konflikt und dem Flüchtlingsstrom in einer Reihe europäischer Länder zusammenhängen.

Die von pro-russischen APTs gestarteten Phishing-Angriffe verwenden zuvor kompromittierte E-Mail-Adressen und leiten potenzielle Opfer auf Seiten um, die von den APTs kontrolliert werden – weitgehend ein Standard-Phishing-Verfahren. Google entdeckte Ghostwriter, der Phishing-Kampagnen gegen ukrainische und polnische Militär- und Regierungsbehörden startete.

Google berichtete, dass eine Reihe von Domains, die für Anmeldedaten-Phishing verwendet werden, bereits durch die „Safe Browsing“-Funktion von Google blockiert wurden. Die Domains enthielten ungewöhnliche Namen wie „i dot ua-passport dot top“ und „login dot Credentials-email dot space“.

Mustang Panda nutzt die aktuelle Flüchtlingssituation

Unterdessen verschickt Chinas Mustang Panda Phishing-Köder an europäische Unternehmen, indem er bösartige Dateien an die E-Mails anhängt, deren Namen auf wichtige Informationen oder Dringlichkeit hindeuten. Googles Bericht erwähnt Anhänge mit Dateinamen wie "Situation an den EU-Grenzen zur Ukraine.zip". Der Anhang würde eine ausführbare Datei enthalten, die als Downloader für die endgültige Nutzlast fungiert.

Die Threat Analysis Group von Google hat bereits die notwendigen Vorkehrungen getroffen und alle Einrichtungen und Behörden in den Zielländern der Phishing-Kampagnen benachrichtigt.