In den letzten Wochen haben Forscher eine ausgeklügelte Phishing-Kampagne entdeckt, die auf Nutzer in Russland zielt, die soziale Täuschung mit verschiedenen Stadien der Nutzlast kombiniert, um eine vollständige Kontrolle der Ausrüstung und in vielen Fällen Verschlüsselungsdateien zu erhalten. Die Operation verwendet scheinbar administrative Dokumente, Zugang zu öffentlichen Cloud-Diensten und Techniken, die versuchen, die nativen Windows-Verteidigungen deaktivieren, die ein klares Beispiel dafür macht, wie Angreifer legitime Werkzeuge und Dienstleistungen ketten, um Blockaden zu vermeiden. Für die technische Analyse und konkrete Beispiele siehe der Bericht Fortinet FortiGuard Labs, der den Fluss der Infektion dokumentiert: Innerhalb einer mehrstufigen Windows-Malware-Kampagne.
Der Angriff beginnt mit einem klassischen, aber effektiven Haken: eine komprimierte Datei, die Dokumente des harmlosen Aussehens und einen direkten Zugang zu Windows (LNK) mit einem russischen Namen enthält, der wie ein .txt aussehen soll. Diese Verknüpfung versteckt eine PowerShell-Ordnung, die ein Skript aus einem öffentlichen Repository in GitHub herunterlädt. Die Strategie der Nutzung von Diensten wie GitHub für Skripte und Dropbox für Binaries macht die Infrastruktur beständig gegen schnelle Entfernung weil die Trennung von Funktionen zwischen öffentlichen Plattformen die Reaktion von Lieferanten und Sicherheitsausrüstung erschwert.
Das erste Skript, das als Licht-Ladegerät ausgeführt wird: es verbirgt das PowerShell-Fenster, so dass der Benutzer keine Aktivität wahrnimmt, lässt eine sichtbare "Bache"-Kopie, um die Illusion zu erhalten und in der Zwischenzeit den Bediener durch die Telegram Bot API zu benachrichtigen. Diese Benachrichtigung ist ein Zeichen, dass die Anfangsphase ohne Fehler bestanden und dass der Angreifer mit den späteren Stufen fortfahren kann. Die Technik, dem Opfer ein legitimes Dokument zu zeigen, während es schädliche Handlungen von hinten stillhält, ist eine soziale Taktik, die die Wahrscheinlichkeit reduziert, dass das Opfer den Angriff stoppen wird.
Nach einer bewussten Verzögerung erholt sich das Ladegerät und führt eine stark verdeckte Visual Basic-Datei aus, die die nächste Nutzlast direkt im Speicher baut. Durch die Montage des Codes im Speicher vermeiden sie, Artefakte auf Festplatte zu verlassen und viele traditionelle Erkennungswerkzeuge zu frustrieren. Wenn die Last keine hohen Privilegien hat, ärgert der Code den Benutzer mit Kontokontrolltabellen, bis er angehoben wird; einmal mit administrativen Genehmigungen, es geht, um die Umwelt zu deaktivieren und zu bewaffnen, um Erkennung und Wiederherstellung zu verhindern.
Die Maßnahmen, die Malware gilt, sind vielfältig und beunruhigend: es modifiziert Ausschlüsse und Einstellungen von Microsoft Defender, deaktiviert zusätzliche Schutzkomponenten mit PowerShell, verwendet ein Dienstprogramm namens Defendnot ein falsches Sicherheitsprodukt im Windows Security Center aufzeichnen und so Defend dazu veranlassen, die Richtlinien im Register zu deaktivieren und zu ändern, um administrative und diagnostische Tools zu deaktivieren. Microsoft berät, den Schutz vor Manipulationen zu aktivieren und ungewöhnliche Änderungen im Dienst zu überwachen, um den Missbrauch dieser API zu mildern; seine technischen Empfehlungen sind in der Microsoft Wissensbasis verfügbar: Microsoft Defender vs Defendnot.
Neben der Neutralisation von Verteidigungsabwehren lädt der Schauspieler zusätzliche Module herunter, die Informationen sammeln und filtern. Ein .NET-Modul nimmt regelmäßige Screenshots und sendet sie über Telegram, andere Komponenten extrahieren Anmeldeinformationen in Browsern, Kryptomoneda-Münzen und Anwendungen wie Discord, Steam oder Telegram gespeichert, und kann auch Mikrofon-Audio, Webcam-Bilder und Clipboard-Inhalte aufnehmen. Einer der letzten Artefakte ist ein Remote-Access-Trojan, bekannt als Amnesia RAT, aus Dropbox zurückgewonnen, die eine vollständige Fernbedienung bietet: Prozessliste und -abschluss, Befehlsausführung, zusätzliche Payloads Bereitstellung und Datenexfiltration über HTTPS oder über externe Unterkunftsdienste. Fortinet beschreibt diese Fähigkeiten im Detail in seiner technischen Analyse: siehe Fortinet-Bericht.
Die Bedrohung ist nicht auf Spionage beschränkt: Nach dem Verlassen des Inertsystems vor Verteidigungswerkzeugen setzen die Angreifer eine Variante von Ransomware aus der Hakuna Matata-Familie ein, die Dokumente, Quellcode, Bilder und andere Vermögenswerte angibt. Vor der Verschlüsselung werden die Prozesse, die den Betrieb stören könnten, abgeschlossen und die ansomware überwacht die Zwischenablage, um Kryptomoneer-Adressen durch andere zu ersetzen, die von den Angreifern kontrolliert werden. Das Endergebnis bei vielen Maschinen ist der Zugriff auf kritische Informationen und in einigen Fällen eine zusätzliche Sperrung der Benutzeroberfläche durch eine WinLocker-Komponente.
Parallel dazu haben die Reaktionsteams entsprechende Kampagnen mit unterschiedlichen Techniken und Werkzeugen, aber mit ähnlichen Zielen beobachtet. Zum Beispiel die Operation namens DupeHike, dem UNG0902 Schauspieler zugeschrieben und dokumentiert von Seqrit Labs, verwendet Decals auf Payroll und interne Richtlinien, um die Ausführung eines Implantats namens DUPERUNNER zu induzieren, das wiederum den AdaptixC2-Rahmen herunterlädt. Es gab auch Kampagnen von einem Schauspieler namens Paper Werewolf oder GOFFIE, die künstliche Intelligenz generierte Lures und Excel XLL Ergänzungen verwendet, um die EchoGather Hintertür zu liefern; Intezer erklärte, dass Kette und die Verwendung von WinHTTP in Verbindung mit C2: Intezer-Analyse.
Was können Organisationen und Nutzer über diese Art von Kampagne tun? Es gibt keine einzige Lösung, aber es gibt mehrere Praktiken, die das Risiko reduzieren. Die erste Verteidigungslinie besteht darin, die automatische Ausführung von Code aus Dokumenten und direkten Zugang per Post zu verhindern., und setzen Sie Richtlinien, die die Nutzung von PowerShell und Skripte in Workstations beschränken, die es nicht benötigen. Es ist wichtig, Integritätsmechanismen in Antivirenprogrammen zu aktivieren, wie z.B. den durch moderne Lösungen angebotenen Handling-Schutz, und Anwendungssteuerungen anzuwenden, die eine binäre Ausführung von Zeit- oder Benutzerstandorten verhindern. Netzwerksegmentierung und Segregation privilegierter Konten sowie Offline-Backup kritischer Daten reduzieren die Auswirkungen, wenn eine massive Verschlüsselung auftritt. Microsoft und andere Lieferanten stellen spezielle Anleitungen zur Minderung von Plattformmissbrauch und operativen Empfehlungen aus, und Sicherheitsteams sollten diese Ressourcen und Warnungen regelmäßig überprüfen.
Wenn eine Organisation vermutet, dass sie von dieser Familie von Bedrohungen beeinträchtigt worden ist, sollten unmittelbare Maßnahmen die Isolation von betroffenen Gastgebern umfassen, um die Exfiltration zu reduzieren, die Sammlung von heißen Beweisen sorgfältig zu verhindern, Spuren zu zerstören, die Rotation von Anmeldeinformationen und die Mitteilung an die zuständigen Regulierungs- und Bankenunternehmen, wenn Finanzdaten in Gefahr gewesen sind. Ein geprüfter Antwortplan und die Zusammenarbeit mit Sicherheitsdienstleistern können die Erholung beschleunigen. Um den spezifischen Missbrauch von Defendnot zu verstehen und zu erkennen, können sich Teams auf Binary Defense Analyse- und Antwortmaterialien beziehen, die von EDR und SOCs Anbietern veröffentlicht wurden: Defendnot: Windows Defender gegen sich drehen.
Die technische und operative Unterrichtung dieser Vorfälle ist klar: moderne Angreifer erreichen Gesamtverpflichtungen, ohne Softwareausfälle auszunutzen, statt den Missbrauch legitimer Systemfunktionalitäten und Cloud-Dienste zu nutzen. Dies erfordert die Kombination von Technologie mit Prozessen und Schulungen; der Benutzer, der ein ZIP mit einem LNK erhält, sollte es nicht standardmäßig öffnen, und Administratoren sollten Änderungen in Sicherheitsrichtlinien und Telemetrie-Indikatoren überwachen, die unautorisierte PowerShell-Ausführung, Verbindungen zu ungewöhnlichen öffentlichen Repositorien oder Verkehr zu Messaging-Diensten und Datei hosting von Stationen, die sie nie verwenden. Sichtbarkeit, Prävention und ein Reaktionsplan sind die beste Verteidigung gegen diese komplexen Angriffsketten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...