Google Threat Intelligence Group (GTIG) hat einen ungeschädigten Drohungsakteur identifiziert, der für eine Reihe von Intrusionen gegen ukrainische Organisationen verantwortlich ist und unter dem Namen CANFAIL gruppiert ist. Nach Angaben des Google-Teams zeigt diese Reihe von Operationen Anzeichen einer möglichen Verbindung mit russischen Geheimdiensten, und ihr Schwerpunkt umfasst Verteidigungseinheiten, Streitkräfte, Regierungsbehörden und Energieunternehmen auf regionaler und nationaler Ebene.
Das Verhalten ist jedoch nicht auf diese traditionellen Ziele beschränkt. GTIG stellt ein zunehmendes Interesse des Betreibers in Luftfahrtunternehmen, Hersteller mit militärischen und Drohnenverbindungen, Kern- und Chemieforschungszentren sowie an internationalen Organisationen fest, die an der Konfliktüberwachung und humanitären Hilfe beteiligt sind. Diese Reihe von Zielen gibt eine umfassendere Absicht: die Sammlung sensibler Informationen mit militärischen und zivilen Anwendungen.
Was CANFAIL unterscheidet, ist nicht unbedingt seine absolute technische Raffinesse, sondern seine Fähigkeit, Einschränkungen mittels künstlicher Intelligenz zu kompensieren. Der Google-Bericht erklärt, dass die Gruppe Sprachmodelle für bestimmte Aufgaben verwendet: Erstellung von Texten, die bei der Täuschung verwendet werden, um Fragen zu stellen, die die Konfiguration der Kontroll- und Befehlsinfrastruktur (C2) erleichtern und die Erkennungsphase beschleunigen. Mit anderen Worten, die Verwendung von LLM ermöglicht weniger erfahrenen Angreifern, glaubwürdigere Lures zu produzieren und die Operationen zu beschleunigen, die zuvor hochspezialisiertes Personal benötigt. Lesen Sie mehr über die GTIG Bewertung auf dem offiziellen Google Cloud Blog ( Hier.)
Die Phishing-Kampagnen, die diesem Schauspieler zugeschrieben wurden, haben eine elementare, aber effektive Taktik angenommen: die Ermutigung legitimer Energieträger - sowohl ukrainisch als auch einige in Rumänien -, die Empfänger zu überzeugen, scheinbar harmlose Dokumente zu öffnen. Die Nachrichten enthalten Links zu Google Drive, die eine RAR-Datei verbergen; innen ist eine Doppelerweiterungsdatei, die wie ein PDF (z.B. nombre.pdf.js) aussehen soll. Wenn aktiviert, führt dieser vonuscado JavaScript einen PowerShell-Befehl, der dazu bestimmt ist, ein Ladegerät auch auf PowerShell in den Speicher zu fahren, so dass die Verlassen von Geräten einfacher auf der Festplatte zu erkennen. Während die Infektion auftritt, sieht das Opfer ein falsches Dialogfeld mit einer Fehlermeldung, eine coquette Taktik, um Verdacht zu minimieren und Zeit zu gewinnen.
Die wichtigste technische Komponente, CANFAIL, ist daher eine Kette von Angriffen gebaut, um den Erfolg der Täuschung zu maximieren und den forensischen Fußabdruck in den kompromittierten Systemen zu minimieren. Durch die Kombination von JavaScript ofuscation, Ausführung über PowerShell in Speicher- und visuellen Decoys, die Fehler simulieren, sucht die Kampagne dauerhaften und diskreten Zugriff auf Postkonten und interne Ressourcen.
Darüber hinaus bezieht GTIG den Schauspieler auf eine weitere frühere Kampagne namens PhantomCaptcha, die von SentinelOne Forschern beschrieben wurde. Diese Operation förderte falsche Seiten, die Opfer zur Aktivierung der Infektionskette geführt und endete mit der Lieferung eines WebSocket-basierten Trojaners. Für ein breiteres Bild von SentinelOne's Forschung, siehe Ihr Forschungszentrum ( Das Leben der Menschen), wo technische Analysen und Warnungen zu aufstrebenden Bedrohungen veröffentlicht werden.
Ein besorgniserregender Aspekt dieser Taktik ist die Verwendung von Sprachmodellen zur Verbesserung der Techniken der Sozialtechnik. Verwenden Sie LLMs, um hoch anpassbare E-Mails zu schreiben, Listen von bestimmten Adressen nach Region und Industrie zu erstellen oder überzeugende Phishing-Seiten zu entwerfen reduziert die Einstiegsbarriere für Angreifer mit begrenzten Ressourcen. Sicherheitseinrichtungen und -ausrüstungen müssen sich diese neue Variable ansehen: nicht nur den Betreibern mit traditionellen Werkzeugen, sondern auch den Akteuren, die ihre Wirksamkeit mit automatischen Texterzeugungsfunktionen verstärken. Europäische Einrichtungen und Cybersicherheitsbehörden analysieren bereits die Auswirkungen der schädlichen Nutzung von IA auf den Cyberspace; allgemeine Berichte und Empfehlungen zu Risiken von IA und Cybersicherheit können bei der Agentur der Europäischen Union für Cybersicherheit ( ENISA)
Was können Organisationen tun, um das Risiko einer Bedrohung wie CANFAIL zu reduzieren? Zuerst stärken Sie die Identitätsprüfung des Absenders und die Analyse der in Cloud-Diensten gehosteten Links; viele Kampagnen verwenden Google Drive und ähnliche Plattformen, um schädliche Belastungen hinter legitimen Links zu verstecken. Zweitens, härten Skripte und Telemetrie Ausführungsrichtlinien, die PowerShell-Prozesse erkennen, die den Code im Speicher herunterladen oder ausführen. Drittens, implementieren Multifaktor-Authentifizierung und überwachen anormale Muster des Zugriffs auf Unternehmens-E-Mail-Konten. Für praktische Anleitungen zur Minderung der Phishing- und Anfangsverpflichtungen ist es angebracht, Ressourcen von nationalen Agenturen, wie z.B. US-CERTs Beratung im Bereich Sozialtechnik und Phishing ( in diesem Link)
Die Entstehung von Akteuren, die konventionelle Techniken mit IA-gestützten Fähigkeiten kombinieren, zwingt eine Veränderung der defensiven Mentalität: Es ist nicht mehr genug, technische Ausbeutungen zu blockieren; mehr polierte und automatisierte soziale Manipulationskampagnen müssen erwartet werden. Organisationen im Orbit des ukrainischen Konflikts, und diejenigen mit kommerziellen oder logistischen Beziehungen in der Region, sollten ihre Überwachung und Durchführung spezifischer Kontrollen bei der Postverwaltung und die Verwendung von File-Sharing-Tools erhöhen.
Kurz gesagt, CANFAIL zeigt einen breiteren Trend: die Demokratisierung von Offensive-Kapazitäten durch automatisierte Content Generation-Tools. Obwohl dieser Akteur weniger ausgefeilt erscheint als andere, den Staaten zugeschriebene Gruppen, macht seine Annahme von LLMs und sein Fokus auf strategische Ziele es zu einem echten Risiko für kritische Infrastrukturen und für die Integrität von humanitären und Überwachungsmaßnahmen. Informationen Ã1⁄4ber Nachrichtenberichte und die Anwendung grundlegender Cyberhygiene-Kontrollen sind wesentliche Maßnahmen, um die Arbeit dieser Angreifer zu komplizieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...