Schadsoftware Cobalt Strike

Neue Spear-Phishing-Kampagne zielt auf Russland-Kritiker

Das Threat Intelligence Team von Malwarebytes hat im Zusammenhang mit dem Russland-Ukraine-Krieg eine neue Spear-Phishing-Kampagne identifiziert.

Während sich die zuletzt beobachteten Cyberbedrohungen stets gegen die Ukraine richteten, konzentriert sich diese neue Kampagne auf russische Bürgerinnen und Bürger sowie Regierungsstellen. Aufgrund der Inhalte der Phishing-Mails ist es wahrscheinlich, dass es der Bedrohungsakteur spezifisch auf Personen abgesehen hat, die sich gegen die russische Regierung richten.

Anzeige

Die Spear-Phishing-Mails geben vor, vom „Ministerium für digitale Entwicklung, Telekommunikation und Massenkommunikation der Russischen Föderation“ oder dem russischen „Föderalen Dienst für die Überwachung von Kommunikation, Informationstechnologie und Massenkommunikation“ zu stammen. In den E-Mails wird Personen, die von der russischen Regierung verbotene Webseiten, soziale Netzwerke, Instant Messenger oder VPN-Dienste nutzen, mit einer Strafanzeige gedroht. Die Empfänger:innen werden in den Mails dazu aufgefordert, einen bösartigen Anhang oder Link zu öffnen, um mehr Informationen über ihren Verstoß zu erhalten. Auf diese Weise wird ihr Gerät mit der Schadsoftware Cobalt Strike infiziert.

Das Threat Intelligence Team von Malwarebytes konnte in Zusammenhang mit dieser Kampagne zwei Dokumente identifizieren, die die Schwachstelle CVE-2021-40444 ausnutzen. Obwohl CVE-2021-40444 auch in der Vergangenheit bereits in einigen Angriffen verwendet wurde, haben die Angreifer laut Malwarebytes dieses Mal zum ersten Mal RTF-Dateien anstelle von Word-Dokumenten verwendet, um die Schwachstelle auszunutzen. Zudem nutzte der Angreifer eine neue Variante des Exploits „CAB-less“.

Der Versand der Phishing-Mails zielt dabei auf E-Mail-Adressen bestimmter Domänen ab. Basierend auf einer Analyse der Domänen könnten laut Malwarebytes auch russische Ministerien, zum Beispiel das Innenministerium oder das Ministerium für Wissenschaft und Hochschulbildung der Russischen Föderation, potenzielle Opfer der Attacke sein.

Weitere Informationen:

Im Bericht des Threat Intelligence Teams von Malwarebytes finden Sie eine detaillierte Analyse der neuen Spear-Phishing-Kampagne sowie ausführliche Erläuterungen, wie der Bedrohungsakteur bei den Angriffen vorgeht. Auch Kompromittierungsindikatoren (Indicators of Compromise, IOCs) sind hier gelistet.

www.malwarebytes.com
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.