Neue russische Cyberwaffen nehmen ukrainische Ziele ins Visier
Security-Forscher haben eine neue mutmaßlich russische Cyberkampagne gegen ukrainische Einrichtungen aufgedeckt. Dabei kommen zwei bislang unbekannte Schadprogramme zum Einsatz, die von den Experten "BadPaw" und "MeowMeow" genannt werden.
Zunächst wird dabei lediglich ein extrem kleines Bild geladen, das als sogenannter Tracking-Pixel dient. Dadurch erfahren die Angreifer, dass der Link geöffnet wurde. Erst danach wird das eigentliche Ziel aktiviert: Die Nutzer werden auf eine weitere Internetadresse weitergeleitet, von der ein ZIP-Archiv heruntergeladen wird.
In diesem Archiv befindet sich eine HTML Application (HTA). Wird sie geöffnet, zeigt sie ein Dokument auf Ukrainisch an, das sich mit Anträgen im Zusammenhang mit Grenzübertritten befasst. Dieses Dokument dient als Köder und soll den Eindruck eines legitimen Vorgangs erwecken, während im Hintergrund bereits weitere Schritte der Schadsoftware ausgeführt werden.
Die HTA-Datei überprüft zunächst, ob sie möglicherweise in einer Analyseumgebung läuft. Dazu liest sie unter anderem einen Eintrag in der Windows-Registrierung aus, der Hinweise auf das Installationsdatum des Betriebssystems gibt. Wurde das System erst vor weniger als zehn Tagen eingerichtet, ein typisches Merkmal von Testumgebungen, bricht das Programm den Vorgang ab.
Das Programm verfügt über eine zusätzliche Tarnfunktion: Wird es außerhalb der eigentlichen Angriffskette gestartet, erscheint lediglich eine grafische Oberfläche mit einem Katzenbild und einer Schaltfläche "MeowMeow". Beim Anklicken wird nur eine harmlose Meldung angezeigt. Erst wenn das Programm mit bestimmten Parametern gestartet wird und keine Analysewerkzeuge laufen, aktiviert sich die eigentliche Schadfunktion. Dann kann die Backdoor unter anderem PowerShell-Befehle ausführen und Dateien auf dem infizierten System lesen, verändern oder löschen.
Hinweise im Quellcode, darunter russischsprachige Textfragmente, deuten laut den Forschern darauf hin, dass die Angriffe von russischsprachigen Entwicklern stammen. Experten vermuten, dass entweder ein Fehler bei der Tarnung gemacht wurde oder interne Entwicklungsreste im Code zurückgeblieben sind.
Siehe auch:
Altbekannte Gruppe
Nach Einschätzung des israelischen Sicherheitsunternehmens ClearSky steckt mit einiger Wahrscheinlichkeit die russische Hackergruppe APT28 hinter den Angriffen. Den Analysen zufolge beginnt die Attacke mit einer Phishing-E-Mail, die scheinbar von der ukrainischen Mailplattform ukr.net stammt. Diese soll Vertrauen erwecken und die Empfänger dazu bringen, auf einen Link zu klicken.Zunächst wird dabei lediglich ein extrem kleines Bild geladen, das als sogenannter Tracking-Pixel dient. Dadurch erfahren die Angreifer, dass der Link geöffnet wurde. Erst danach wird das eigentliche Ziel aktiviert: Die Nutzer werden auf eine weitere Internetadresse weitergeleitet, von der ein ZIP-Archiv heruntergeladen wird.
In diesem Archiv befindet sich eine HTML Application (HTA). Wird sie geöffnet, zeigt sie ein Dokument auf Ukrainisch an, das sich mit Anträgen im Zusammenhang mit Grenzübertritten befasst. Dieses Dokument dient als Köder und soll den Eindruck eines legitimen Vorgangs erwecken, während im Hintergrund bereits weitere Schritte der Schadsoftware ausgeführt werden.
Die HTA-Datei überprüft zunächst, ob sie möglicherweise in einer Analyseumgebung läuft. Dazu liest sie unter anderem einen Eintrag in der Windows-Registrierung aus, der Hinweise auf das Installationsdatum des Betriebssystems gibt. Wurde das System erst vor weniger als zehn Tagen eingerichtet, ein typisches Merkmal von Testumgebungen, bricht das Programm den Vorgang ab.
Gute Tarnung
Besteht das System die Prüfung, werden aus dem Archiv zwei Dateien extrahiert: ein Visual-Basic-Skript und eine Bilddatei im PNG-Format. Zudem legt die Malware eine geplante Aufgabe im System an, damit das Skript dauerhaft ausgeführt werden kann. Das Skript wiederum extrahiert aus der PNG-Datei versteckten Code - den Loader BadPaw. Dieser verbindet sich mit einem Server der Angreifer und lädt weitere Komponenten nach, darunter die Backdoor MeowMeow.Das Programm verfügt über eine zusätzliche Tarnfunktion: Wird es außerhalb der eigentlichen Angriffskette gestartet, erscheint lediglich eine grafische Oberfläche mit einem Katzenbild und einer Schaltfläche "MeowMeow". Beim Anklicken wird nur eine harmlose Meldung angezeigt. Erst wenn das Programm mit bestimmten Parametern gestartet wird und keine Analysewerkzeuge laufen, aktiviert sich die eigentliche Schadfunktion. Dann kann die Backdoor unter anderem PowerShell-Befehle ausführen und Dateien auf dem infizierten System lesen, verändern oder löschen.
Hinweise im Quellcode, darunter russischsprachige Textfragmente, deuten laut den Forschern darauf hin, dass die Angriffe von russischsprachigen Entwicklern stammen. Experten vermuten, dass entweder ein Fehler bei der Tarnung gemacht wurde oder interne Entwicklungsreste im Code zurückgeblieben sind.
Zusammenfassung
- Neue russische Cyberwaffen greifen ukrainische Einrichtungen an
- Schadprogramme heißen BadPaw und MeowMeow und waren bisher unbekannt
- Sicherheitsfirma ClearSky vermutet die Hackergruppe APT28 dahinter
- Phishing-Mails von ukr.net dienen als Einstieg in die Angriffskette
- HTA-Datei zeigt ukrainisches Dokument zu Grenzübertritten als Köder
- Malware prüft das Installationsdatum, um Testumgebungen zu erkennen
- Backdoor MeowMeow kann PowerShell-Befehle ausführen und Dateien löschen
- Russischsprachige Codefragmente deuten auf russische Entwickler hin
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen