SOC Prime Bias: Kritisch

08 Jan. 2026 19:22
newspaper icon cert.gov.ua

Cyberangriff der Gruppe APT28 mit dem Schadprogramm CredoMap_v2 (CERT-UA#4622)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Cyberangriff der Gruppe APT28 mit dem Schadprogramm CredoMap_v2 (CERT-UA#4622)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

APT28 führte eine Phishing-Operation durch, bei der ein passwortgeschütztes RAR-Archiv namens UkrScanner.rar verwendet wurde. In dem Archiv befand sich eine selbstextrahierende (SFX) ausführbare Datei, die CredoMap_v2 installierte. Die Malware stiehlt und exfiltriert Anmeldedaten über HTTP POST an eine von Angreifern kontrollierte Infrastruktur, die auf der Pipedream-Plattform gehostet wird. Der Vorfall wurde von CERT-UA (der nationalen CERT der Ukraine) offengelegt.

Untersuchung

CERT-UA erhielt eine verdächtige Nachricht, die sich als die eigene Organisation ausgab und den passwortgeschützten RAR-Anhang trug. Die Untersuchung des SFX-Payloads offenbarte die CredoMap_v2-Binärdatei und deren HTTP-basierte Anmeldedaten-Exfiltrationsroutine. Analysten verfolgten den ausgehenden Datenverkehr zu eo2mxtqmeqzafqi.m.pipedream.net und 69.16.243.33. Basierend auf den Werkzeugen und der Infrastruktur wurde die Aktivität der bekannten APT28-Bedrohungsgruppe zugeschrieben.

Abschwächung

CERT-UA blockierte die bösartige Pipedream-Domain und die zugehörige IP-Adresse. Benutzern wurde empfohlen, passwortgeschützte Archive als hohes Risiko zu betrachten und die Identität des Absenders über vertrauenswürdige Kanäle zu validieren. Verhindern Sie die Ausführung unbekannter ausführbarer Dateien durch Betriebssystemkontrollen und Endpunktsicherheitspolitiken.

Reaktion

Schulen Sie Benutzer darin, Phishing zu erkennen und Absender zu bestätigen, insbesondere wenn Anhänge passwortgeschützt sind. Stärken Sie die E-Mail-Filterung für verdächtige Archive und ausführbare Dateien und blockieren Sie bekannte feindliche Infrastrukturen. Überwachen Sie ausgehenden HTTP-Datenverkehr auf unerwartete POST-Anfragen an nicht vertrauenswürdige Domains und untersuchen Sie eventuelle Übereinstimmungen umgehend.

„graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffcc99 classDef malware fill:#ff9999 classDef service fill:#ccccff classDef data fill:#ccffcc %% Nodes email_phishing[„<b>Aktion</b> – <b>T1566.001 Phishing</b><br/><b>Name</b>: Spearphishing-Anhang<br/><b>Detail</b>: E-Mail-Spoofing von CERT-UA mit passwortgeschütztem RAR“] class email_phishing action archive_rar[„<b>Datei</b> – <b>Name</b>: UkrScanner.rar<br/><b>Typ</b>: Passwortgeschütztes RAR-Archiv<br/><b>Technik</b>: T1027.015 Komprimierung“] class archive_rar file sfx_payload[„<b>Malware</b> – <b>Name</b>: CredoMap_v2 (SFX)<br/><b>Technik</b>: T1027.009 Eingebettete Payloads“] class sfx_payload malware execution[„<b>Aktion</b> – <b>T1204.002 Benutzer-Ausführung</b><br/><b>Detail</b>: Benutzer öffnet RAR, extrahiert SFX, das ausgeführt wird“] class execution action credential_capture[„<b>Aktion</b> – <b>T1056.003 Eingabekapture</b><br/><b>Methode</b>: Erfassung von Anmeldedaten im Webportal“] class credential_capture action web_service[„<b>Dienst</b> – <b>Endpunkt</b>: eo2mxtqmeqzafqi.m.pipedream.net<br/><b>Technik</b>: T1567 Exfiltration über Webdienst“] class web_service service exfiltrated_data[„<b>Daten</b> – <b>Typ</b>: Gestohlene Anmeldedaten<br/><b>Potenzielle Nutzung</b>: T1078 Gültige Konten“] class exfiltrated_data data privileged_use[„<b>Aktion</b> – <b>T1078 Gültige Konten</b><br/><b>Auswirkung</b>: Verwendung gestohlener Anmeldedaten für privilegierten Zugang“] class privileged_use action %% Connections email_phishing u002du002d>|liefert| archive_rar archive_rar u002du002d>|enthält| sfx_payload sfx_payload u002du002d>|wird als Teil von ausgeführt| execution execution u002du002d>|erfasst Anmeldedaten über| credential_capture credential_capture u002du002d>|sendet Daten an| web_service web_service u002du002d>|empfängt| exfiltrated_data exfiltrated_data u002du002d>|ermöglicht| privileged_use „

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien-Pre‐flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und die Darstellung MÜSSEN direkt mit den identifizierten TTPs übereinstimmen und zielen darauf ab, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:
    Ein APT28-Bediener erhält eine Phishing-Mail mit einem passwortgeschützten RAR-Archiv. Darin befindet sich eine selbstextrahierende (SFX) ausführbare Datei namens UkrScanner.exe. Nachdem das Archiv auf dem Rechner des Opfers entpackt wurde, führt der Bediener den SFX-Stummel aus, der die Malware CredoMap_v2 ablegt und ausführt. Die Ausführung von UkrScanner.exe erzeugt ein Prozesserstellungsereignis, das mit der Erkennungsregel übereinstimmt.

    Simulationsschritte (auf dem Testhost ausgeführt):

    1. Erstellen Sie eine Dummy-Auszählbare namens UkrScanner.exe (Kopie von powershell.exe zur Sicherheit).
    2. Starten Sie die Dummy-Auszählbare, um die Ausführung der SFX-Datei durch den Angreifer zu simulieren.

  • Regressionstest-Skript:

    # ==============================
# Simulation der Ausführung von CredoMap_v2 aus SFX (UkrScanner.exe)
# ==============================
$tempPath = "$env:TEMPUkrScanner.exe"

# 1. Bereiten Sie ein ungefährliches Ersatz-Payload vor (Kopie von powershell.exe)
Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force

# 2. Stellen Sie sicher, dass die Datei ausführbar ist
Unblock-File -Path $tempPath

# 3. Führen Sie die Dummy-SFX-Stummel aus (simuliert den Angriff durch das Ausführen der Datei)
Write-Host "Dummy-SFX ausführbar ausführen..."
Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru

# 4. Pause, um die SIEM-Aufnahme zu ermöglichen
Start-Sleep -Seconds 5
Write-Host "Simulation abgeschlossen. Überprüfen Sie SIEM auf eine Erkennung der Prozesserstellung, die mit 'UkrScanner.exe' endet."

  • Bereinigungsbefehle:

    # Stoppen Sie alle verweilenden Powershell-Prozesse, die durch die Dummy-Auszählbare gestartet wurden (falls vorhanden)
Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force

# Entfernen Sie die Dummy-Auszählbare
$tempPath = "$env:TEMPUkrScanner.exe"
if (Test-Path $tempPath) {
    Remove-Item -Path $tempPath -Force
    Write-Host "Bereinigung abgeschlossen: $tempPath entfernt"
}

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten