Neue APT-Kampagne trifft Unternehmen im Konfliktgebiet Russland-Ukraine

Im Oktober 2022 entdeckten Kaspersky-Forscher eine laufende APT-Kampagne (Advanced Persistent Threat) [1], die auf Organisationen im russisch-ukrainischen Kriegsgebiet abzielt. Die von Kaspersky als ‚CommonMagic‘ bezeichnete Spionagekampagne ist seit mindestens September 2021 aktiv und nutzt eine bisher unbekannte Malware, um Daten von ihren Angriffszielen zu sammeln. Zu den Zielen gehören Verwaltungs-, Landwirtschafts- und Transportunternehmen in den Regionen Donezk, Luhansk und Krim.

Die APT-Angriffe werden mit einer PowerShell-basierten Backdoor namens ‚PowerMagic‘ und dem neuen schädlichen Framework ‚CommonMagic‘ ausgeführt. Letzteres ermöglicht es, Dateien von USB-Geräten zu stehlen, Daten zu sammeln und sie an den Angreifer weiterzuleiten. Zusätzlich ermöglicht die modulare Struktur des Frameworks schädliche Aktivitäten über neue Schad-Module hinzuzufügen.

Vermutlich erfolgte der Angriff zunächst über Spear-Phishing oder ähnliche Methoden. Die Zielpersonen wurden zu einer URL geleitet, die wiederum zu einem ZIP-Archiv führte, das auf einem schädlichen Server gehostet wurde. Dieses Archiv enthielt zum einen eine schädliche Datei, die die PowerMagic-Backdoor bereitstellte und zum anderen ein harmloses Dokument zur Täuschung, das die Betroffenen in dem Glauben lassen sollte, der Inhalt sei legitim. Die Kaspersky-Experten entdeckten eine Reihe solcher Köder-Archive mit Titeln, die sich auf verschiedene Dekrete von in der Region relevanten Organisationen beziehen.

Sobald ein Nutzer das Archiv herunterlädt und auf die Verknüpfungsdatei im Archiv klickt, erfolgt die Infektion mit der PowerMagic-Backdoor. Die Backdoor empfängt Befehle von einem Remote-Ordner auf einem öffentlichen Cloud-Speicherdienst, führt die vom Server gesendeten Befehle aus und lädt dann die Ergebnisse der Ausführung zurück in die Cloud. Außerdem nistet sich PowerMagic so im System ein, dass sie bei jedem Hochfahren des infizierten Geräts gestartet wird.

Backdoor und modulares Framework stehen wohl in Verbindung

Sämtliche von Kaspersky beobachteten PowerMagic-Ziele waren zudem mit einem modularen Framework – von Kaspersky als ‚CommonMagic‘ benannt – infiziert. Dies deutet darauf hin, dass CommonMagic wahrscheinlich von PowerMagic eingesetzt wird, auch wenn aus den verfügbaren Daten nicht ersichtlich ist, wie diese Infektion erfolgt.

Das Framework von CommonMagic besteht aus mehreren Modulen, von denen jedes einzelne eine ausführbare Datei ist, die in einem individuellen Prozess gestartet wird. Die Module können untereinander kommunizieren. Überdies ist das Framework so konzipiert, dass es sowohl Dateien von USB-Geräten stehlen als auch alle drei Sekunden Screenshots erstellen und diese an den Angreifer senden kann.

Derzeit lässt sich kein direkter Zusammenhang zwischen dem in dieser Kampagne verwendeten Code und Daten aus bereits bekannten Fällen herstellen. Allerdings ist die Kampagne nach wie vor aktiv und die Analysen dauern weiter an. Angesichts der begrenzten Viktimologie und den thematischen Ködern ist es plausibel, dass die Angreifer ein besonderes Interesse an der geopolitischen Lage in der Konfliktregion haben.

„Geopolitische Ereignisse haben stets Einfluss auf die Cyberbedrohungslandschaft und führen zur Entstehung neuer Bedrohungen“, erklärt Leonid Bezvershenko, Sicherheitsforscher im Global Research and Analysis Team (GReAT) von Kaspersky. „Seit geraumer Zeit beobachten wir Aktivitäten im Zusammenhang mit dem Konflikt zwischen Russland und der Ukraine – dies ist eine unserer aktuellen Entdeckungen. Zwar sind die Malware und die in der CommonMagic-Kampagne eingesetzten Techniken nicht besonders ausgeklügelt, jedoch ist die Cloud-Speicher-Nutzung als Befehls- und Kontrollinfrastruktur bemerkenswert. Unsere Untersuchungen dauern noch an und wir hoffen, dass wir bald mehr zu dieser Kampagne in Erfahrung bringen und berichten können.“

Kaspersky-Empfehlungen zum Schutz vor bekannten und unbekannten Bedrohungen

• Das SOC-Team sollte Zugang zu den neuesten Bedrohungsdaten haben. Das Kaspersky Threat Intelligence Portal [2] bietet Cyberangriffsdaten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.
• Damit das Cybersecurity-Team eines Unternehmens im Umgang mit den neuesten zielgerichteten Bedrohungen vorbereitet ist, sollten Online-Schulungen, wie jene, die von Kasperskys GReAT-Experten [3] entwickelt werden, durchgeführt werden.
• EDR-Lösungen wie Kaspersky Endpoint Detection and Response (EDR) [4] implementieren, die eine frühzeitige Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen auf Endpunktebene bieten.
• Einen Schutz wie Kaspersky Anti Targeted Attack Plattform [5] einsetzen, der fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt.
• Da viele zielgerichtete Angriffe durch Phishing oder andere Social-Engineering-Techniken beginnen, sollten Unternehmen Schulungen zum Sicherheitsbewusstsein, beispielsweise über die Kaspersky Automated Security Awareness Platform [6], anbieten, um Teams praktische Fähigkeiten zu vermitteln.

Weitere Informationen zur CommonMagic-Kampagne unter https://securelist.com/bad-magic-apt/109087/

[1] https://securelist.com/bad-magic-apt/109087/

[2] https://www.kaspersky.de/enterprise-security/threat-intelligence

[3] https://xtraining.kaspersky.com/?utm_source=pr-media&utm_medium=partner&utm_campaign=gl_xtr-gen-pr_je0066&utm_content=sm-post&utm_term=gl_pr-media_organic_66jpzgkgnjbgdrn&redef=1&THRU&reseller=gl_xtr-gen-pr_acq_ona_smm__onl_b2b_pr-media_post_______

[4] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[5] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform

[6] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform

Nützliche Links:

• Kaspersky-Analyse zu PowerMagic und CommonMagic: https://securelist.com/bad-magic-apt/109087/
• Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
• Kaspersky Online Cybersecurity Training for Experts: https://xtraining.kaspersky.com/?utm_source=pr-media&utm_medium=partner&utm_campaign=gl_xtr-gen-pr_je0066&utm_content=sm-post&utm_term=gl_pr-media_organic_66jpzgkgnjbgdrn&redef=1&THRU&reseller=gl_xtr-gen-pr_acq_ona_smm__onl_b2b_pr-media_post_______
• Kaspersky Endpoint Detection and Response: https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
• Kaspersky Anti Targeted Attack Platform: https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform
• Kaspersky Automated Security Awareness Platform: https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform