RoarBAT-Malware vom ukrainischen CERT entdeckt

Das Computer Emergency Response Team der Ukraine (CERT-UA) hat eine laufende Phishing-Kampagne gemeldet, bei der Köder mit Rechnungsmotiven verwendet werden, um die SmokeLoader-Malware zu verbreiten. Die E-Mails werden von kompromittierten Konten gesendet und enthalten ein ZIP-Archiv, bei dem es sich in Wirklichkeit um eine mehrsprachige Datei mit einem Täuschungsdokument und einer JavaScript-Datei handelt. Diese Datei wird zur Ausführung der SmokeLoader-Malware verwendet, deren Ziel es ist, effektivere Malware auf infizierte Systeme herunterzuladen. CERT-UA hat diese Aktivität UAC-0006 zugeschrieben, einem finanziell motivierten Bedrohungsakteur, der versucht, Anmeldeinformationen zu stehlen und Gelder ohne Genehmigung zu überweisen.

Darüber hinaus hat die ukrainische Cybersicherheitsbehörde einen zerstörerischen Angriff auf Organisationen des öffentlichen Sektors aufgedeckt, der von UAC-0165 durchgeführt wurde, einer Gruppe, die CERT-UA mäßig der Sandworm-Gruppe zugeschrieben hat. Bei dem Angriff handelte es sich um eine Batch-Skript-basierte Wiper-Malware namens RoarBAT, die rekursiv nach Dateien mit bestimmten Erweiterungen suchte und diese mit dem legitimen WinRAR-Dienstprogramm löschte. Die Gruppe kompromittierte auch Linux-Systeme mithilfe eines Bash-Skripts, das Dateien mit null Bytes überschrieb, um einer Entdeckung zu entgehen.

Begünstigt wurde der Angriff durch das Fehlen von MFA beim Herstellen von Remoteverbindungen zu VPN. Die zerstörerischen Auswirkungen des Angriffs führten zu Beeinträchtigungen elektronischer Computer, Serverausrüstung, automatisierter Benutzerarbeitsplätze und Datenspeichersysteme.

Was sind Advanced Persistent Threat Actors?

Advanced Persistent Threat (APT)-Akteure sind hochqualifizierte und motivierte Cyber-Angreifer, die langfristige, gezielte Cyber-Spionagekampagnen gegen bestimmte Ziele wie Regierungsbehörden, kritische Infrastrukturen oder große Unternehmen durchführen. Diese Angreifer nutzen ausgefeilte Techniken, um sich unbefugten Zugriff auf sensible Informationen und Systeme zu verschaffen, mit dem Ziel, wertvolles geistiges Eigentum, Verschlusssachen oder Finanzdaten zu stehlen.

APTs verwenden typischerweise eine Kombination aus Taktiken wie Spear-Phishing, Social Engineering, Malware und Fernzugriffstools, um Zugriff auf Zielsysteme zu erhalten. Sobald sie Zugang erhalten, können APT-Akteure im Netzwerk Fuß fassen, sich seitlich innerhalb der Zielumgebung bewegen und lange Zeit unentdeckt bleiben, während sie Daten exfiltrieren.

APT-Akteure werden häufig vom Staat gefördert und von Nationalstaaten oder anderen großen Organisationen unterstützt, die über erhebliche Ressourcen zur Unterstützung ihrer Cyberoperationen verfügen. Möglicherweise sind sie jedoch auch finanziell motiviert und arbeiten im Auftrag krimineller Organisationen, die aus Profitgründen wertvolle Daten stehlen wollen.

Die Abwehr von APT-Angriffen erfordert einen vielschichtigen Ansatz, der erweiterte Funktionen zur Bedrohungserkennung und -reaktion, strenge Sicherheitshygienepraktiken und eine kontinuierliche Überwachung der Netzwerkaktivität auf Anzeichen verdächtigen Verhaltens umfasst.