Angepasste Malware-Payloads


Cyberspionage mit möglicherweise russischem Hintergrund auch gegen Behörden in Deutschland
Supply-Chain-Attacken mit kompromittierten Word-Dokumenten anderer Behörden - Verlagerung der Aktionen in Zentralasien nach Mittel- und Westeuropa


Laut aktuellen Beobachtungen der Bitdefender Labs zielt die Gruppe UAC-0063 mit ihren Spionage-Attacken nun verstärkt auf Behörden, darunter wahrscheinlich auch Botschaften in Europa. Unter anderem in Deutschland, Großbritannien, den Niederlanden und Rumänien. Die Belege der ursprünglich auf Zentralasien gerichteten Aktivitäten nach Mittel- und Westeuropa zeigen die Kompetenz der Angreifer sowie ihre Flexibilität, mit ihrem Vorgehen den sich entwickelnden geopolitischen Spannungen zu folgen.

Die Gruppe mit möglicherweise russischem Hintergrund war mit einer komplexen Supply-Chain-Attacke zunächst vor allem in Zentralasien aktiv. Für den Erstzugang zu den Netzen der eigentlich ausgesuchten Ziele verwenden die Angreifer Microsoft-Word-Dokumente, die sie im Vorfeld von anderen Opfern erbeutet haben. Die kompromittierten Versionen der Dokumente schicken sie an die eigentlichen Ziele, um dort den HATVIBE-Malware-Loader zu installieren. Dabei nutzen sie URL-Links anstatt direkt angefügter Anhänge, um E-Mail-Security Gateways zu umgehen.

Die Angreifer von UAC-0063 bedienen sich angepasster Malware-Payloads wie den in C++ geschriebenen DownEx (C++) oder den in Python – alias CherrySpy – programmierten DownExPyer. Diese bösartigen Tools sind vor allem dafür ausgerichtet, Daten zu sammeln sowie zu exfiltrieren und einen persistenten Zugang in ein Behördennetz einzurichten. Die Wartung der dafür genutzten Infrastruktur und die fortlaufende Manipulation neuer Dokumente deuten darauf hin, dass die Cyberspionage-Kampagne weiter aktiv ist.

Möglicher russischer Hintergrund
Die Experten der Bitdefender-Labs attribuieren die Aktivitäten der vom ukrainischen Computer Emergency Response Team (CERT-UA) "UAC-0063" benannten Gruppe. Laut CERT-UA gibt es Hinweise für eine Verbindung von UAC-0063 mit der russischen Cyberspionage-Gruppe APT28 (BlueDelta). Aktivitäten von UAC 0063 beobachtet Bitdefender seit 2022.

Eine ausführliche Analyse der Aktivitäten unter: https://www.bitdefender.com/en-us/blog/businessinsights/uac-0063-cyber-espionage-operation-expanding-from-central-asia .
(Bitdefender: ra)

eingetragen: 17.02.25

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Cyber-Angriffe

  • Was ist OT Cyber Threat Intelligence?

    Cyber Threat Intelligence (CTI) beschreibt das Sammeln, Verarbeiten, Analysieren, Verbreiten und Integrieren von Informationen über aktive oder aufkommende Cyber-Bedrohungen. Der wesentliche Zweck von CTI besteht darin, bösartige Cyber-Aktivitäten und -Gegner aufzudecken und dieses Wissen den Entscheidungsträgern im Unternehmen zur Verfügung zu stellen.

  • Schwachstellen in der IT-Infrastruktur

    Hat der VW-Konzern ein Datenleck wird darüber in allen Medien berichtet, doch VW und andere Großkonzerne mit Cybersicherheitsschwierigkeiten stellen nur die Spitze des Eisbergs dar. Das Rückgrat der deutschen Wirtschaft bilden die kleinen und mittelständischen Unternehmen (KMU), zu denen rund 99 Prozent aller Unternehmen in Deutschland zählen. Diese Unternehmen sind praktisch jeden Tag zahlreichen Angriffsversuchen aller Art ausgesetzt. Sie stellen in den Augen der Angreifer oft die Ziele dar, die den geringsten Widerstand leisten. Dadurch wirken sie für Angreifer besonders attraktiv. Auch wenn Erpressungsversuche etc. bei KMU meist nicht die Summen einbringen, wie das bei Großkonzernen der Fall ist, ist es die "Masse", die es letztlich für die Angreifer unterm Strich lukrativ macht.

  • Engagierter IT-Admin: Mehr Fluch als Segen?

    Sogar Cybersecurity-Experten, die sich den ganzen Tag mit nichts anderem als IT-Sicherheit beschäftigen, haben heute Mühe, sich auf dem aktuellen Stand der Entwicklungen zu halten. Wie sollen da unterbesetzte IT-Abteilungen Cybersicherheit für ihr Unternehmen gewährleisten? Es wird Zeit, dass die Chefetage die Verantwortung für die IT-Security an sich zieht, Raum für eine ehrliche Situationsanalyse schafft und engagierte IT-Admins sich die Grenzen ihrer eigenen Ressourcen eingestehen.

Gefährlich: die Imitation von Marken Gamer im Fadenkreuz

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen