Angepasste Malware-Payloads


Cyberspionage mit möglicherweise russischem Hintergrund auch gegen Behörden in Deutschland
Supply-Chain-Attacken mit kompromittierten Word-Dokumenten anderer Behörden - Verlagerung der Aktionen in Zentralasien nach Mittel- und Westeuropa


Laut aktuellen Beobachtungen der Bitdefender Labs zielt die Gruppe UAC-0063 mit ihren Spionage-Attacken nun verstärkt auf Behörden, darunter wahrscheinlich auch Botschaften in Europa. Unter anderem in Deutschland, Großbritannien, den Niederlanden und Rumänien. Die Belege der ursprünglich auf Zentralasien gerichteten Aktivitäten nach Mittel- und Westeuropa zeigen die Kompetenz der Angreifer sowie ihre Flexibilität, mit ihrem Vorgehen den sich entwickelnden geopolitischen Spannungen zu folgen.

Die Gruppe mit möglicherweise russischem Hintergrund war mit einer komplexen Supply-Chain-Attacke zunächst vor allem in Zentralasien aktiv. Für den Erstzugang zu den Netzen der eigentlich ausgesuchten Ziele verwenden die Angreifer Microsoft-Word-Dokumente, die sie im Vorfeld von anderen Opfern erbeutet haben. Die kompromittierten Versionen der Dokumente schicken sie an die eigentlichen Ziele, um dort den HATVIBE-Malware-Loader zu installieren. Dabei nutzen sie URL-Links anstatt direkt angefügter Anhänge, um E-Mail-Security Gateways zu umgehen.

Die Angreifer von UAC-0063 bedienen sich angepasster Malware-Payloads wie den in C++ geschriebenen DownEx (C++) oder den in Python – alias CherrySpy – programmierten DownExPyer. Diese bösartigen Tools sind vor allem dafür ausgerichtet, Daten zu sammeln sowie zu exfiltrieren und einen persistenten Zugang in ein Behördennetz einzurichten. Die Wartung der dafür genutzten Infrastruktur und die fortlaufende Manipulation neuer Dokumente deuten darauf hin, dass die Cyberspionage-Kampagne weiter aktiv ist.

Möglicher russischer Hintergrund
Die Experten der Bitdefender-Labs attribuieren die Aktivitäten der vom ukrainischen Computer Emergency Response Team (CERT-UA) "UAC-0063" benannten Gruppe. Laut CERT-UA gibt es Hinweise für eine Verbindung von UAC-0063 mit der russischen Cyberspionage-Gruppe APT28 (BlueDelta). Aktivitäten von UAC 0063 beobachtet Bitdefender seit 2022.

Eine ausführliche Analyse der Aktivitäten unter: https://www.bitdefender.com/en-us/blog/businessinsights/uac-0063-cyber-espionage-operation-expanding-from-central-asia .
(Bitdefender: ra)

eingetragen: 17.02.25

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • LLMJacking nimmt DeepSeek ins Visier

    Sysdig stellt das Unternehmen ihre neusten Erkenntnisse zu LLMJacking vor. Dazu kommen der Einfluss von Deepseek auf LLMJacking Angriffe und Best Practices, um sich vor solchen Angriffen zu schützen. Seit der Entdeckung von LLMjacking durch das Sysdig Threat Research Team (TRT) im Mai 2024 haben wir ständig neue Erkenntnisse und Anwendungen dieser Angriffe beobachtet. So wie sich große Sprachmodelle (LLMs) schnell weiterentwickeln und wir alle noch lernen, wie man sie am besten nutzt, entwickeln sich auch die Angreifer weiter und erweitern ihre Anwendungsfälle für den Missbrauch.

  • Was ist OT Cyber Threat Intelligence?

    Cyber Threat Intelligence (CTI) beschreibt das Sammeln, Verarbeiten, Analysieren, Verbreiten und Integrieren von Informationen über aktive oder aufkommende Cyber-Bedrohungen. Der wesentliche Zweck von CTI besteht darin, bösartige Cyber-Aktivitäten und -Gegner aufzudecken und dieses Wissen den Entscheidungsträgern im Unternehmen zur Verfügung zu stellen.

  • Schwachstellen in der IT-Infrastruktur

    Hat der VW-Konzern ein Datenleck wird darüber in allen Medien berichtet, doch VW und andere Großkonzerne mit Cybersicherheitsschwierigkeiten stellen nur die Spitze des Eisbergs dar. Das Rückgrat der deutschen Wirtschaft bilden die kleinen und mittelständischen Unternehmen (KMU), zu denen rund 99 Prozent aller Unternehmen in Deutschland zählen. Diese Unternehmen sind praktisch jeden Tag zahlreichen Angriffsversuchen aller Art ausgesetzt. Sie stellen in den Augen der Angreifer oft die Ziele dar, die den geringsten Widerstand leisten. Dadurch wirken sie für Angreifer besonders attraktiv. Auch wenn Erpressungsversuche etc. bei KMU meist nicht die Summen einbringen, wie das bei Großkonzernen der Fall ist, ist es die "Masse", die es letztlich für die Angreifer unterm Strich lukrativ macht.

Gefährlich: die Imitation von Marken Gamer im Fadenkreuz

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen