APT-Gruppe TA422 attackiert Unternehmen in Europa und Nordamerika

Schwachstellen in MS Outlook und WinRAR

Hacker

Die mit Russland in Verbindung stehende Cyberkriminellen-Gruppe TA422 – auch bekannt als APT28, Forest Blizzard, Pawn Storm, Fancy Bear und BlueDelta – hat es vor allem auf Unternehmen der Luft- und Raumfahrtbranche, dem Bildungswesen, dem Finanzsektor, dem Technologiesektor und dem Fertigungsbereich abgesehen.

Zudem nimmt die Gruppe vor allem staatliche Stellen in Europa und Nordamerika ins Visier. Dabei setzten die Angreifer vor allem auf Phishing-Kampagnen mit einer Vielzahl an Nachrichten.

Anzeige

Dies ist das Ergebnis einer neuen Untersuchung des Cybersicherheitsunternehmens Proofpoint, dessen Security-Experten seit März 2023 eine Reihe von Phishing-Aktivitäten von TA422 beobachten konnten. Die Cyberkriminellen machen sich bei ihren Kampagnen bekannte Schwachstellen zunutze, die noch nicht von allen IT-Abteilungen gepatcht wurden, und verschaffen sich so Zugang zu den Systemen ihrer Opfer.

Die wichtigsten Untersuchungsergebnisse:

  • Proofpoint-Experten haben umfangreiche Phishing-Aktivitäten beobachtet, bei denen TA422 Organisationen aus den Bereichen Luft- und Raumfahrt, Bildungswesen, Finanzwirtschaft, Fertigung und dem Technologiesektor sowie staatliche Einrichtungen in Europa und Nordamerika ins Visier nahm. Die Gruppe hat es mutmaßlich auf Benutzerdaten bzw. das Initiieren von Folgeaktivitäten abgesehen.
  • Seit März 2023 konnte ein erheblicher Anstieg der versendeten E-Mails festgestellt werden. Bei diesen Aktivitäten wurde unter anderem die Sicherheitslücke CVE-2023-23397 ausgenutzt – eine Schwachstelle in Microsoft Outlook, mit der erweiterte Berechtigungen erlangt werden können. Im Spätsommer 2023 haben die Cyberkriminellen mehr als 10.000 E-Mails verschickt, mit denen diese Schwachstelle ausgenutzt werden sollte. Auch eine WinRAR-Schwachstelle (CVE-2023-38831) machten sich die Täter zunutze.
  • Bei den Absender-Adressen gaben sich die Täter als geopolitische Organisationen aus und griffen in den Betreffzeilen u.a. den BRICS-Gipfel sowie eine Sitzung des Europäischen Parlaments als Köder auf.

„Die russische APT-Gruppe TA422 hat den Missbrauch bekannter Schwachstellen mit umfangreichen E-Mail-Kampagnen fortgesetzt. Dabei zielen sie auf Behörden, die Rüstungs-, Luft- und Raumfahrtindustrie sowie auf Hochschulen in Europa und Nordamerika ab“, fasst Greg Lesnewich zusammen, Senior Threat Researcher bei Proofpoint.

Anzeige

„Die Aktionen der Gruppe deuten darauf hin, dass sie versuchen, leicht zu infiltrierende Netzwerke zu entdecken, die von strategischem Interesse sind. Die in diesen Kampagnen verwendeten Payloads, Taktiken und Techniken belegen eine endgültige Abkehr von kompilierter Malware durch TA422, mit der sie sich üblicherweise dauerhaften Zugriff auf die Zielnetzwerke sicherten. Ziel scheint nun ein leichterer, auf Zugangsdaten ausgerichteten Zugriff zu sein.“

Abbildung 1: Phishing-Aktivitäten von TA422 zwischen März und November 2023
Abbildung 1: Phishing-Aktivitäten von TA422 zwischen März und November 2023

Überblick über die Aktivitäten von TA422

Seit März 2023 konnten die Proofpoint-Experten beobachten, dass die russische APT-Gruppe TA422 bekannte, noch nicht von allen IT-Abteilungen gepatchte Schwachstellen ausnutzt, um eine Vielzahl von Organisationen in Europa und Nordamerika anzugreifen. Die Gruppe wird von den US-Geheimdiensten dem russischen Generalstabsdirektorat (GRU) zugeordnet.

Während TA422 gewöhnliche zielgerichtete Aktivitäten durchführte und Mockbin und InfinityFree für die URL-Umleitung nutzte, kam es laut den Daten von Proofpoint zu einem signifikanten Anstieg bei der Anzahl an E-Mails, die CVE-2023-23397 ausnutzten, eine Schwachstelle in Microsoft Outlook. Dazu gehörten mehr als 10.000 E-Mails, die die Angreifer von einem einzigen E-Mail-Anbieter an Unternehmen in den Bereichen Verteidigung, Luft- und Raumfahrt, Technologie und Fertigung sowie an staatliche Einrichtungen sendete. Kleinere Nachrichtenvolumen zielten auch auf Organisationen in den Bereichen Hochschulbildung, Bauwesen und Beratung ab. Die Forscher von Proofpoint identifizierten ferne Kampagnen von TA422, die eine WinRAR-Schwachstelle (CVE-2023-38831) zur Remote-Ausführung auszunutzen versuchten.

Abbildung 2: Köder aus der Kampagne vom 1. September 2023
Abbildung 2: Köder aus der Kampagne vom 1. September 2023

Eine detailliere Analyse sollte hier zu finden sein.

www.proofpoint.com/de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.