Backdoor-Malware wird gegen ukrainische Verteidigungsunternehmen eingesetzt

Es wurde eine neue .NET-basierte Hintertür namens DeliveryCheck (auch bekannt als CAPIBAR oder GAMEDAY) identifiziert, die speziell auf den Verteidigungssektor in der Ukraine und Osteuropa abzielt. Diese hochentwickelte Hintertür ist in der Lage, nachfolgende Nutzlasten zu liefern.

Die Angriffe wurden einem russischen Nationalschauspieler namens Turla zugeschrieben, der unter verschiedenen Namen wie Iron Hunter, Secret Blizzard (ehemals Krypton), Uroburos, Venomous Bear und Waterbug bekannt ist. Es ist bekannt, dass Turla Verbindungen zum russischen Föderalen Sicherheitsdienst (FSB) hat. Der Angriffsvektor besteht darin, DeliveryCheck per E-Mail zu verbreiten und dabei Dokumente zu verwenden, die schädliche Makros enthalten. Sobald DeliveryCheck infiltriert wurde, bleibt es über eine geplante Aufgabe bestehen, die es herunterlädt und im Speicher ausführt. Darüber hinaus kommuniziert es mit einem Command-and-Control-Server (C2), um Aufgaben abzurufen, einschließlich des Startens beliebiger Nutzlasten, die in XSLT-Stylesheets eingebettet sind.

Erster Angriff nutzt Kazuar-Implantat

In einigen Fällen geht der Erstzugang mit der Verteilung eines bekannten Turla-Implantats namens Kazuar einher. Dieses Implantat ist bestens dafür gerüstet, Anwendungskonfigurationsdateien, Ereignisprotokolle und verschiedene Daten von Webbrowsern zu stehlen. Das Hauptziel dieser Angriffe besteht darin, Nachrichten aus der Signal-Messaging-App unter Windows herauszuschleusen, um den Angreifern den Zugriff auf vertrauliche Gespräche, Dokumente und Bilder auf den Zielsystemen zu ermöglichen.

Ein wesentlicher Aspekt von DeliveryCheck ist seine Fähigkeit, Microsoft Exchange-Server zu gefährden, indem eine serverseitige Komponente mithilfe von PowerShell Desired State Configuration (DSC) installiert wird, einer Plattform, die die automatisierte Konfiguration von Windows-Systemen erleichtert. Dadurch kann DSC eine MOF-Datei (Managed Object Format) generieren, die ein PowerShell-Skript enthält, das die eingebettete .NET-Nutzlast in den Speicher lädt und so einen legitimen Server effektiv in ein bösartiges C2-Center verwandelt.

Die Ukraine zerstört die Propaganda-Bot-Farm

Parallel dazu hat die Cyber-Polizei der Ukraine erfolgreich eine groß angelegte Bot-Farm demontiert, bei der mehr als 100 Personen beteiligt waren, die feindselige Propaganda verbreiteten, die die russische Invasion rechtfertigte. Die Gruppe war auch an der Weitergabe persönlicher Daten ukrainischer Bürger und der Durchführung verschiedener Betrugspläne beteiligt. Im Rahmen dieser Aktion wurden an 21 Standorten Durchsuchungen durchgeführt, bei denen Computerausrüstung, Mobiltelefone, über 250 GSM-Gateways und etwa 150.000 SIM-Karten verschiedener Mobilfunkbetreiber beschlagnahmt wurden.