Sicherheitsforscher sagen, dass sie kürzlich eine russische Hacking-Crew beobachtet haben, die hinter den zerstörerischen WhisperGate-Malware-Cyberangriffen steckte, die ukrainische Unternehmen mit einer neuen Informationen stehlenden Malware ins Visier nahm.
Das Threat Hunter Team von Symantec hat zugeschrieben diese Kampagne an einen mit Russland verbundenen Cyber-Bedrohungsakteur, weithin bekannt als TA471 (oder UAC-0056), der seit Anfang 2021 aktiv ist. Die Gruppe ist bekannt um die Interessen der russischen Regierung zu unterstützen, und obwohl sie in erster Linie auf die Ukraine abzielt, war die Gruppe auch gegen NATO-Mitgliedsstaaten in Nordamerika und Europa aktiv. TA471 wurde mit WhisperGate in Verbindung gebracht, einer zerstörerischen Malware zum Löschen von Daten, die im Januar 2022 bei mehreren Cyberangriffen auf ukrainische Ziele eingesetzt wurde. Die Malware tarnt sich als Ransomware, macht Zielgeräte jedoch vollständig funktionsunfähig und kann Dateien nicht wiederherstellen, selbst wenn eine Lösegeldforderung bezahlt wird .
Laut Symantec stützt sich die jüngste Kampagne der Hacking-Crew auf eine bisher unbekannte Malware, die Informationen stiehlt und „Graphiron“ heißt, um ukrainische Organisationen anzugreifen. Die Malware wurde verwendet, um Daten von infizierten Computern von Oktober 2022 bis mindestens Mitte Januar 2023 zu stehlen, so die Forscher, es ist vernünftig anzunehmen, dass sie Teil des Virus bleibt [hackers’] Werkzeugkasten.“
Die Informationen stehlende Malware verwendet Dateinamen, die sich als legitime Microsoft Office-Dateien tarnen, und ähnelt anderen TA471-Tools, wie z GraphSteel und GrimPlant, die zuvor im Rahmen einer Spear-Phishing-Kampagne speziell gegen ukrainische Staatsorgane eingesetzt wurden. Aber Symantec sagt, dass Graphiron entwickelt wurde, um weit mehr Daten zu exfiltrieren, einschließlich Screenshots und privater SSH-Schlüssel.
„Diese Informationen könnten aus nachrichtendienstlicher Sicht an sich nützlich sein, oder sie könnten verwendet werden, um tiefer in die Zielorganisation einzudringen oder zerstörerische Angriffe zu starten“, sagte Dick O’Brien, leitender Geheimdienstanalyst des Symantec Threat Hunter Teams, gegenüber Tech.
O’Brien sagte, dass, obwohl wenig über die Herkunft oder Strategie der Hacking-Crew bekannt ist, TA471 zu einem der Hauptakteure in Russlands laufenden Cyber-Kampagnen gegen die Ukraine geworden ist.
Nachrichten über die neueste Spionagekampagne von TA471 kommen Tage nach der ukrainischen Regierung schlug Alarm auf eine andere staatlich geförderte russische Hacking-Gruppe namens UAC-0010, die weiterhin häufige Cyber-Angriffskampagnen gegen ukrainische Organisationen durchführt.
„Trotz der Verwendung von hauptsächlich wiederholten Techniken und Verfahren entwickeln die Angreifer ihre Taktiken langsam, aber beharrlich weiter und entwickeln gebrauchte Malware-Varianten neu, um unentdeckt zu bleiben“, sagte das staatliche Cyber-Schutzzentrum der Ukraine. „Daher bleibt es eine der wichtigsten Cyber-Bedrohungen, denen Unternehmen in unserem Land ausgesetzt sind.“