Thought Leadership
Aktuelle Untersuchungen von Kaspersky zeigen [1], dass der Bedrohungsakteur hinter der CommonMagic-Kampagne [2] seine schädlichen Aktivitäten ausweitet – sowohl regional als auch aus technischer Perspektive.
Demnach hat das neu entdeckte Framework ‚CloudWizard‘ seine Viktimologie auf Organisationen in der Zentral- und Westukraine ausgeweitet; bisher waren Unternehmen im russisch-ukrainischen Kriegsgebiet davon betroffen. Darüber hinaus konnten die Kaspersky-Experten den zunächst unbekannten Akteur mit früheren APT-Kampagnen wie Operation BugDrop und Operation Groundbait (Prikormka) in Verbindung bringen.
Bereits Im März dieses Jahres berichtete Kaspersky von einer neuen APT-Kampagne im russisch-ukrainischen Kriegsgebiet namens CommonMagic, die PowerMagic- und CommonMagic-Implantate zu Spionagezwecken nutzt. Die Kampagne ist seit September 2021 aktiv und setzt nun eine zuvor nicht identifizierte Malware ein, um Daten von den Zielpersonen zu sammeln.
Framework CloudWizard erstmalig entdeckt
Bei der nun entdeckten ATP-Kampagne wurde ein modulares Framework namens CloudWizard verwendet. Kaspersky identifizierte insgesamt neun Module innerhalb dieses Frameworks, die jeweils für bestimmte schädliche Aktivitäten wie das Sammeln von Dateien, Keylogging, die Erstellung von Screenshots, das Aufzeichnen von Mikrofonaufnahmen und Passwortdiebstahl verantwortlich sind. Eines dieser Module konzentriert sich auf das Exfiltrieren von Daten aus Gmail-Konten. Indem es Gmail-Cookies aus Browser-Datenbanken extrahiert, kann dieses Modul auf Aktivitätsprotokolle, Kontaktlisten und alle mit den Zielkonten verbundenen E-Mail-Nachrichten zugreifen.
Parallelen zwischen CloudWizard, Groundbait und BugDrop
Weitere Analysen der Sicherheitsexperten von Kaspersky zeigen zudem, dass die Kampagne inzwischen eine erweiterte Opferverteilung aufweist. Standen bisher vor allem die Regionen Donezk, Luhansk und die Krim im Visier, sind nun auch Einzelpersonen, diplomatische Einrichtungen und Forschungsorganisationen in der West- und Zentralukraine betroffen. Weiterhin konnten die Experten deutliche Übereinstimmungen zwischen CloudWizard und zwei zuvor dokumentierten Kampagnen identifizieren: Operation Groundbait und Operation BugDrop. Zu den Übereinstimmungen gehören Parallelen im Code, in der Benennung und Auflistung von Dateien, das Hosten durch ukrainische Hosting-Dienste und gemeinsame Opferprofile in der West- und Zentralukraine sowie in der Konfliktregion in Osteuropa.
Zudem weist CloudWizard auch gewisse Ähnlichkeiten mit der kürzlich entdeckten Kampagne CommonMagic auf. Einige Abschnitte des Codes sind identisch; beide verwenden dieselbe Verschlüsselungsbibliothek, folgen einem ähnlichen Dateibenennungsformat und haben gemeinsame Zielstandorte im osteuropäischen Konfliktgebiet.
Daraus schließen die Experten von Kaspersky, dass die schädlichen Kampagnen Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic und CloudWizard auf denselben aktiven Bedrohungsakteur zurückgeführt sind.
„Der für diese Angriffe verantwortliche Bedrohungsakteur setzt seine Cyberspionage-Aktivitäten konsequent fort, indem er sein Instrumentarium kontinuierlich verbessert und seit über fünfzehn Jahren zielgerichtet bestimmte, für ihn interessante Einrichtungen angreift“, erklärt Georgy Kucherin, Sicherheitsexperte beim Global Research & Analysis Team (GReAT) von Kaspersky. „Geopolitische Faktoren sind nach wie vor ein wichtiger Beweggrund für APT-Angriffe. Angesichts der vorherrschenden Spannungen im russisch-ukrainischen Konfliktgebiet gehen wir davon aus, dass dieser Akteur seine Operationen in absehbarer Zeit fortsetzen wird.“
Kaspersky-Empfehlungen zum Schutz vor komplexen Bedrohungen
- Das SOC-Team sollte Zugang zu den neuesten Bedrohungsdaten (TI) haben.
- Das Cybersecurity-Team sollte regelmäßig umfassend geschult werden.
- EDR-Lösungen für die zeitnahe Erkennung, Untersuchung und Behebung von Vorfällen auf Endpunktebene implementieren.
- Zusätzlich zum grundlegenden Endpunktschutz eine Sicherheitslösung auf Unternehmensebene verwenden, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt.
- Schulungen zum Sicherheitsbewusstsein einführen, um Mitarbeitern grundlegende Cybersicherheitspraktiken zu vermitteln.
[1] https://securelist.com/cloudwizard-apt/109722/
[2] https://securelist.com/bad-magic-apt/109087/
www.kaspersky.de
