Angepasste Malware-Payloads


Cyberspionage mit möglicherweise russischem Hintergrund auch gegen Behörden in Deutschland
Supply-Chain-Attacken mit kompromittierten Word-Dokumenten anderer Behörden - Verlagerung der Aktionen in Zentralasien nach Mittel- und Westeuropa


Laut aktuellen Beobachtungen der Bitdefender Labs zielt die Gruppe UAC-0063 mit ihren Spionage-Attacken nun verstärkt auf Behörden, darunter wahrscheinlich auch Botschaften in Europa. Unter anderem in Deutschland, Großbritannien, den Niederlanden und Rumänien. Die Belege der ursprünglich auf Zentralasien gerichteten Aktivitäten nach Mittel- und Westeuropa zeigen die Kompetenz der Angreifer sowie ihre Flexibilität, mit ihrem Vorgehen den sich entwickelnden geopolitischen Spannungen zu folgen.

Die Gruppe mit möglicherweise russischem Hintergrund war mit einer komplexen Supply-Chain-Attacke zunächst vor allem in Zentralasien aktiv. Für den Erstzugang zu den Netzen der eigentlich ausgesuchten Ziele verwenden die Angreifer Microsoft-Word-Dokumente, die sie im Vorfeld von anderen Opfern erbeutet haben. Die kompromittierten Versionen der Dokumente schicken sie an die eigentlichen Ziele, um dort den HATVIBE-Malware-Loader zu installieren. Dabei nutzen sie URL-Links anstatt direkt angefügter Anhänge, um E-Mail-Security Gateways zu umgehen.

Die Angreifer von UAC-0063 bedienen sich angepasster Malware-Payloads wie den in C++ geschriebenen DownEx (C++) oder den in Python – alias CherrySpy – programmierten DownExPyer. Diese bösartigen Tools sind vor allem dafür ausgerichtet, Daten zu sammeln sowie zu exfiltrieren und einen persistenten Zugang in ein Behördennetz einzurichten. Die Wartung der dafür genutzten Infrastruktur und die fortlaufende Manipulation neuer Dokumente deuten darauf hin, dass die Cyberspionage-Kampagne weiter aktiv ist.

Möglicher russischer Hintergrund
Die Experten der Bitdefender-Labs attribuieren die Aktivitäten der vom ukrainischen Computer Emergency Response Team (CERT-UA) "UAC-0063" benannten Gruppe. Laut CERT-UA gibt es Hinweise für eine Verbindung von UAC-0063 mit der russischen Cyberspionage-Gruppe APT28 (BlueDelta). Aktivitäten von UAC 0063 beobachtet Bitdefender seit 2022.

Eine ausführliche Analyse der Aktivitäten unter: https://www.bitdefender.com/en-us/blog/businessinsights/uac-0063-cyber-espionage-operation-expanding-from-central-asia .
(Bitdefender: ra)

eingetragen: 17.02.25

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Gefährlich: die Imitation von Marken Gamer im Fadenkreuz

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen