APT-Kampagne CommonMagic nun auch in der Zentral- und Westukraine aktiv

Aktuelle Untersuchungen von Kaspersky zeigen [1], dass der Bedrohungsakteur hinter der CommonMagic-Kampagne [2] seine schädlichen Aktivitäten ausweitet – sowohl regional als auch aus technischer Perspektive. Demnach hat das neu entdeckte Framework ‚CloudWizard‘ seine Viktimologie auf Organisationen in der Zentral- und Westukraine ausgeweitet; bisher waren Unternehmen im russisch-ukrainischen Kriegsgebiet davon betroffen. Darüber hinaus konnten die Kaspersky-Experten den zunächst unbekannten Akteur mit früheren APT-Kampagnen wie Operation BugDrop und Operation Groundbait (Prikormka) in Verbindung bringen.

Bereits Im März dieses Jahres berichtete Kaspersky von einer neuen APT-Kampagne im russisch-ukrainischen Kriegsgebiet namens CommonMagic, die PowerMagic- und CommonMagic-Implantate zu Spionagezwecken nutzt. Die Kampagne ist seit September 2021 aktiv und setzt nun eine zuvor nicht identifizierte Malware ein, um Daten von den Zielpersonen zu sammeln.

Framework CloudWizard erstmalig entdeckt

Bei der nun entdeckten ATP-Kampagne wurde ein modulares Framework namens CloudWizard verwendet. Kaspersky identifizierte insgesamt neun Module innerhalb dieses Frameworks, die jeweils für bestimmte schädliche Aktivitäten wie das Sammeln von Dateien, Keylogging, die Erstellung von Screenshots, das Aufzeichnen von Mikrofonaufnahmen und Passwortdiebstahl verantwortlich sind. Eines dieser Module konzentriert sich auf das Exfiltrieren von Daten aus Gmail-Konten. Indem es Gmail-Cookies aus Browser-Datenbanken extrahiert, kann dieses Modul auf Aktivitätsprotokolle, Kontaktlisten und alle mit den Zielkonten verbundenen E-Mail-Nachrichten zugreifen.

Parallelen zwischen CloudWizard, Groundbait und BugDrop

Weitere Analysen der Sicherheitsexperten von Kaspersky zeigen zudem, dass die Kampagne inzwischen eine erweiterte Opferverteilung aufweist. Standen bisher vor allem die Regionen Donezk, Luhansk und die Krim im Visier, sind nun auch Einzelpersonen, diplomatische Einrichtungen und Forschungsorganisationen in der West- und Zentralukraine betroffen. Weiterhin konnten die Experten deutliche Übereinstimmungen zwischen CloudWizard und zwei zuvor dokumentierten Kampagnen identifizieren: Operation Groundbait und Operation BugDrop. Zu den Übereinstimmungen gehören Parallelen im Code, in der Benennung und Auflistung von Dateien, das Hosten durch ukrainische Hosting-Dienste und gemeinsame Opferprofile in der West- und Zentralukraine sowie in der Konfliktregion in Osteuropa.

Zudem weist CloudWizard auch gewisse Ähnlichkeiten mit der kürzlich entdeckten Kampagne CommonMagic auf. Einige Abschnitte des Codes sind identisch; beide verwenden dieselbe Verschlüsselungsbibliothek, folgen einem ähnlichen Dateibenennungsformat und haben gemeinsame Zielstandorte im osteuropäischen Konfliktgebiet.

Daraus schließen die Experten von Kaspersky, dass die schädlichen Kampagnen Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic und CloudWizard auf denselben aktiven Bedrohungsakteur zurückgeführt sind.

„Der für diese Angriffe verantwortliche Bedrohungsakteur setzt seine Cyberspionage-Aktivitäten konsequent fort, indem er sein Instrumentarium kontinuierlich verbessert und seit über fünfzehn Jahren zielgerichtet bestimmte, für ihn interessante Einrichtungen angreift“, erklärt Georgy Kucherin, Sicherheitsexperte beim Global Research & Analysis Team (GReAT) von Kaspersky. „Geopolitische Faktoren sind nach wie vor ein wichtiger Beweggrund für APT-Angriffe. Angesichts der vorherrschenden Spannungen im russisch-ukrainischen Konfliktgebiet gehen wir davon aus, dass dieser Akteur seine Operationen in absehbarer Zeit fortsetzen wird.“

Kaspersky Empfehlungen zum Schutz vor komplexen Bedrohungen

• Das SOC-Team sollte Zugang zu den neuesten Bedrohungsdaten (TI) haben. Über das Kaspersky Threat Intelligence Portal [3] kann das SOC-Team auf die TI des Unternehmens zugreifen und erhält so Zugang zu Cyberangriffsdaten und Erkenntnissen, die Kaspersky in über 25 Jahren gesammelt hat.
• Das Cybersecurity-Team sollte regelmäßig umfassend geschult werden, beispielsweise über die von den GReAT (Global Research & Analysis Team bei Kaspersky) -Experten entwickelten Kursen [4], um sich auf aktuelle zielgerichtete Bedrohungen vorzubereiten.
• EDR-Lösungen wie Kaspersky Endpoint Detection and Response (EDR) [5] für die zeitnahe Erkennung, Untersuchung und Behebung von Vorfällen auf Endpunktebene implementieren.
• Schulungen zum Sicherheitsbewusstsein, wie sie die Kaspersky Automated Security Awareness Platform [7] anbietet, einführen, um Mitarbeitern grundlegende Cybersicherheitspraktiken zu vermitteln.

Die vollständige Kaspersky-Studie über die CloudWizard-Kampagne ist verfügbar unter https://securelist.com/cloudwizard-apt/109722/

[1] https://securelist.com/cloudwizard-apt/109722/

[2] https://securelist.com/bad-magic-apt/109087/

[3] https://www.kaspersky.de/enterprise-security/threat-intelligence

[4] https://xtraining.kaspersky.com/

[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[6] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform

[7] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform



Nützliche Links:

• Kaspersky-Studie: https://securelist.com/cloudwizard-apt/109722/
• Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
• Kaspersky Expert Training: https://xtraining.kaspersky.com/
• Kaspersky Endpoint Detection and Response Expert: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
• Kaspersky Anti Targeted Attack Platform: https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
• Kaspersky Automated Security Awareness Platform: https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform