Cyberspionage gegen Behörden in Deutschland

Bitdefender Bitdefender   |
Identifikation der Cyberspionage

Cyberspionage mit möglicherweise russischem Hintergrund gegen Behörden in Deutschland

Laut aktuellen Beobachtungen der Bitdefender Labs zielt die Gruppe UAC-0063 mit ihren Cyberspionage -Attacken nun verstärkt auf Behörden, darunter wahrscheinlich auch Botschaften in Europa. Unter anderem in Deutschland, Großbritannien, den Niederlanden und Rumänien.

Die Belege der ursprünglich auf Zentralasien gerichteten Aktivitäten nach Mittel- und Westeuropa zeigen die Kompetenz der Angreifer sowie ihre Flexibilität, mit ihrem Vorgehen den sich entwickelnden geopolitischen Spannungen zu folgen.

Die Gruppe mit möglicherweise russischem Hintergrund war mit einer komplexen Supply-Chain-Attacke zunächst vor allem in Zentralasien aktiv. Für den Erstzugang zu den Netzen der eigentlich ausgesuchten Ziele verwenden die Angreifer Microsoft-Word-Dokumente, die sie im Vorfeld von anderen Opfern erbeutet haben. Die kompromittierten Versionen der Dokumente schicken sie an die eigentlichen Ziele, um dort den HATVIBE-Malware-Loader zu installieren. Dabei nutzen sie URL-Links anstatt direkt angefügter Anhänge, um E-Mail-Security Gateways zu umgehen.

Schema der Cyberspionage-Aktionen
Schema der Spionage-Aktionen. (Bild @Bitdefender.)

Cyberspionage bedient sich angepasster Malware-Payloads

Die Angreifer von UAC-0063 bedienen sich angepasster Malware-Payloads wie den in C++ geschriebenen DownEx (C++) oder den in Python – alias CherrySpy – programmierten DownExPyer. Diese bösartigen Tools sind vor allem dafür ausgerichtet, Daten zu sammeln sowie zu exfiltrieren und einen persistenten Zugang in ein Behördennetz einzurichten. Die Wartung der dafür genutzten Infrastruktur und die fortlaufende Manipulation neuer Dokumente deuten darauf hin, dass die Cyberspionage-Kampagne weiter aktiv ist.

Möglicher russischer Hintergrund

Die Experten der Bitdefender-Labs attribuieren die Aktivitäten der vom ukrainischen Computer Emergency Response Team (CERT-UA) „UAC-0063“ benannten Gruppe. Laut CERT-UA gibt es Hinweise für eine Verbindung von UAC-0063 mit der russischen Cyberspionage-Gruppe APT28 (BlueDelta). Aktivitäten von UAC 0063 beobachtet Bitdefender seit 2022.

Zur ausführlichen Analyse der Aktivitäten.

Zurück zu allen News

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
Marktplatz IT-Sicherheit Skip to content