Eine Gruppe, die mit russischen Interessen verbunden ist, konzentrierte sich auf eine europäische Finanzinstitution durch einen Social Engineering-Angriff, der darauf abzielt, Zugang zu erhalten und höchstwahrscheinlich Daten oder Gelder. Die zu Beginn des Monats entdeckte Operation reproduziert nicht nur bekannte Techniken von Cyberkriminellen, die gegen Ziele in der Ukraine operieren, sondern schlägt auch eine Verschiebung der Interessen an westliche Organisationen vor, die den Wiederaufbau und die Unterstützung der Nation im Krieg unterstützen.
Laut der von der Cyber-Sicherheitsfirma veröffentlichten Analyse Blaugrün die Angreifer machten eine Sendung aus einer falschen Domäne, die simulierte Zugehörigkeit zum ukrainischen Justizsystem. Die Post wurde an einen hochrangigen Rechts- und Politikberater der Zielagentur, eine Person mit privilegiertem Zugang zu Rekrutierungsprozessen und Finanzmechanismen gerichtet, so dass dieses Profil ein besonders wertvolles Ziel ist.
Der Müll kam nicht allein: Die Nachricht enthielt einen Link zu einer Datei, die in einem öffentlichen Austauschdienst (PixelDrain) gehostet wurde. (pixeldrain.com), eine Taktik, die verwendet wird, um die Kontrollen auf der Grundlage des Rufes zu dodge. Wenn Sie das komprimierte Paket herunterladen, starten Sie eine Infektionskette bewusst eingewickelt: Im ZIP gab es eine RAR-Datei, die wiederum eine passwortgeschützte 7-Zip enthielt. Das letzte Ziel war eine ausführbare, die von einem PDF-Dokument unter Ausnutzung des alten Rahmens der Doppelverlängerung (* .pdf.exe) verkörpert wurde.
Die Ausführung dieser Datei führte zur Installation eines MSI, das Remote Manipulator System (RMS) eingesetzt hat, ein legitimes Remote Control Tool, mit dem Sie die Steuerung von Schreibtischen, Bildschirm und Transferdateien übernehmen können. Die Nutzung legitimer Software zur Aufrechterhaltung von Beharrlichkeit und Bewegung innerhalb des Netzes ist eine häufige Praxis unter anspruchsvollen Akteuren, weil sie die Erkennungsmöglichkeiten traditioneller Firmen reduziert. Um zu verstehen, warum diese Technik problematisch ist, reicht es aus, sich daran zu erinnern, wie Angreifer legitime Programme nutzen, um ihre Aktivität zu verbergen, was in Bezug auf Frameworks gut beschrieben wird, wie MITRE ATT & CK.
Die Operation wurde auf ein Set, das als UAC-0050 - auch in einigen Berichten als DaVinci Gruppe bekannt - zurückverfolgt wurde, zurückgeführt und von BlueVoyant getauft als Mercing Akula. Dieser Schauspieler hat die Geschichte, sowohl legitime Remote Access-Tools (wie LiteManager) als auch Remote Access Trojans (z.B. RemcosRAT) bei Angriffen auf ukrainische Ziele zu verwenden. Die ukrainischen Behörden haben durch CERT-UA UAC-0050 als Söldnergruppe mit Verbindungen zu russischen Sicherheitsbehörden beschrieben, die sich auf das Sammeln von Daten, das Stehlen von Geldern und die Durchführung von Desinformationsoperationen unter Marken wie Fire Cells ( siehe Kommunikation)
Über den konkreten Fall hinaus weisen internationale Experten und Berichte auf einen besorgniserregenden Trend hin: Die Operationen von russisch-verknüpften Akteuren scheinen zunehmend darauf ausgerichtet, handlungsfähige Intelligenz zu erhalten, die post-post physische oder finanzielle Angriffe erleichtert. Ein Beispiel ist vor kurzem veröffentlichte Informationen, die darauf hindeuten, dass Cyberangriffe auf die ukrainische Energieinfrastruktur versucht haben, die Datenerhebung zu priorisieren, um Raketenangriffe zu führen, anstatt nur sofortige Unterbrechungen zu verursachen ( Der Rekord)
Parallel gehen große Cyber-Sicherheitsunternehmen davon aus, dass diese Gegner nicht nur ihre Aggressivität bewahren, sondern auch das Spektrum der Opfer erweitern werden. In seinem Jahresbericht CrowdStrike Es hebt hervor, wie Gruppen wie APT29 (Kozy Bear) Speed-Phishing-Kampagnen perfektioniert haben, die Beziehungen von Vertrauen ausnutzen, echte Menschen supplantieren und engagierte Konten verwenden, um ihre Kommunikation glaubwürdiger zu machen. Diese Investition in Authentizität macht gezielte Angriffe zu einer noch gefährlicheren Bedrohung für NRO, juristische Personen und Akteure, die mit der Ukraine zusammenarbeiten.
Was sich von dem Einbruch unterscheidet, den BlueVoyant betrifft, ist neben der technischen Komplexität der schädlichen Verpackung das gewählte Ziel: eine Figur mit Verantwortung für Einkauf und Finanzen. Solche Profile können direkten Zugang zu kritischen Informationen oder Kanälen, von denen Geld zu bewegen oder zu verstecken, was die Idee, dass aktuelle Angriffe kombinieren Zwecke der Spionage, Betrug und wirtschaftliche Sabotage.
Für Organisationen und Profis, die in Umgebungen im Zusammenhang mit der Rekonstruktion oder internationalen Hilfe arbeiten, ist die Lektion klar: gezielte Bedrohungen verwenden zunehmend polierte Mittel, um legitime Kommunikation zu durchlaufen und auf gemeinsame Werkzeuge, um Alarme zu vermeiden. Obwohl es keine unfehlbare Barriere gibt, kann das Bewusstsein für Domain-Supplanting, das Misstrauen von komprimierten Dateien von unerwarteten Links und die Überprüfung durch alternative Kanäle vor dem Öffnen von Anhängen das Risiko erheblich reduzieren.
Auf strategischer Ebene bestätigt die Entwicklung dieser Kampagnen zwei Punkte: einerseits, dass die Akteure mit staatlicher / parastataler Ausrichtung weiterhin Söldnergruppen für hybride Operationen angreifen; andererseits ist die Grenze zwischen Cyberkriminalität und Geheimdienstoperationen diffundiert, was Vorfälle hervorruft, die auf den ersten Blick auch Gewinn suchen, um Intelligenz-Sammlungsziele mit potenziell tödlichen Folgen in der physischen Welt zu verfolgen.
Für diejenigen, die sich vertiefen wollen, bietet der BlueVoyant-Bericht das technische Detail des Falles ( Quelle), CERT-UA hält Alarme über die Taktik von UAC-0050 ( siehe Anmerkung), und Analyse von Trends in Signaturen wie CrowdStrike kontextualisieren diese Vorfälle in einem breiteren Muster von Cyberintelligence-Operationen ( Jahresbericht) Der Bericht über die Verwendung von Cyber-Angriffen, um physische Angriffe zu führen, ist auch ein relevantes Lesen, um die hybride Dimension dieser Bedrohungen zu verstehen ( Analyse)
Kurz gesagt, die Einmischung gegen die europäische Institution ist kein isolierter Fall, sondern ein weiteres Kapitel in einer breiteren Kampagne, in der Akteure mit geopolitischen Motivationen soziale Techniken, öffentliche Dateiaustausch-Infrastruktur und legitime Software nutzen, um zu erfassen, zu bleiben und Wert zu extrahieren. Die beste Antwort bleibt eine Kombination aus technischer Überwachung, Weiterbildung von Mitarbeitern und internationaler Zusammenarbeit zwischen Cyber-Sicherheitsteams und Behörden.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...