Folgen 
Phishing bleibt eine der effektivsten Taktiken im Arsenal von Cyberkriminellen, insbesondere wenn Angreifer dringende humanitäre Themen, vertrauenswürdige Online-Ressourcen und legitime Systemwerkzeuge nutzen, um das Engagement der Opfer zu erhöhen. Europol stellt auch fest, dass Phishing weiterhin als primärer Liefervektor für datendiebstahlende Malware dient. Dieses Muster spiegelt sich deutlich in den neuesten Aktivitäten wider, die von CERT-UA verfolgt werden, bei denen Bedrohungsakteure Lockvögel im Zusammenhang mit humanitärer Hilfe und mehrstufige Malware-Lieferungen nutzten, um ukrainische Organisationen anzugreifen.
In einem CERT-UA-Artikel, beschrieben Forscher eine UAC-0247-Kampagne, die lokale Selbstverwaltungsgremien, kommunale Gesundheitseinrichtungen und wahrscheinlich Vertreter der ukrainischen Streitkräfte ins Visier nahm. Die Operation setzte letztendlich AGINGFLY und verwandte bösartige Werkzeuge ein, die Phishing, täuschende Web-Zustellung und den Missbrauch legitimer Windows-Dienstprogramme kombinierten, um Zugang zu erhalten und den nachfolgenden Kompromiss zu unterstützen.
Der neueste Bericht von CERT-UA hebt eine weitere Welle von Phishing-gesteuerten Einbrüchen hervor, die auf die zivile und potenziell verteidigungsnahe Sektoren der Ukraine abzielen. In der im Artikelbeschriebenen Kampagne verwendeten Angreifer E-Mails mit humanitären Themen, um Opfer dazu zu bringen, bösartige Inhalte zu öffnen, die schließlich AGINGFLY einsetzten, eine Malware-Familie, die mit Fernzugriff, Anmeldedaten-Diebstahl und nachfolgenden Aktivitäten nach der Kompromittierung in Verbindung steht. Die beobachteten Ziele umfassten lokale Selbstverwaltungskörperschaften, kommunale Gesundheitseinrichtungen, einschließlich klinischer und Notfallkrankenhäuser, und wahrscheinlich Personen, die mit FPV-Drohnenoperationen verbunden sind.
Melden Sie sich bei der SOC Prime Platform an, um proaktiv gegen UAC-0247-Angriffe zu verteidigen. Drücken Sie einfach unten auf Explore Detections und greifen Sie auf eine relevante Erkennungsregel-Stapelsammlung zu, die mit KI-nativen CTI angereichert ist, an das MITRE ATT&CK®-Rahmenwerk angepasst und mit einer Vielzahl von SIEM-, EDR- und Data-Lake-Technologien kompatibel ist.
Sicherheitsteams können den Threat Detection Marketplace mithilfe des „UAC-0247“ -Tags durchsuchen, um relevante Erkennungen zu identifizieren und verwandte Inhaltsaktualisierungen zu überwachen. Cyber-Verteidiger können sich auch auf Uncoder AI verlassen, um Rohdatenbedrohungsinformationen in leistungsoptimierte Abfragen zu konvertieren, die Regel-Logik zu dokumentieren und zu verbessern sowie Angriffsmuster basierend auf den neuesten CERT-UA-Berichten zu generieren.
Analyse der UAC-0247-Angriffe, die AGINGFLY über humanitäre Phishing-Köder liefern
Laut CERT-UA begann die Angriffsfolge mit Phishing-E-Mails, die als humanitäre Hilfsangebote getarnt waren. Die Opfer wurden aufgefordert, auf einen Link zu klicken, der entweder zu einer legitimen Website führte, die durch Cross-Site-Scripting (XSS) kompromittiert wurde, oder zu einer gefälschten Website, die mit KI-Tools erstellt wurde. In beiden Szenarien war das Ziel, das Opfer zu überzeugen, ein Archiv herunterzuladen und zu öffnen, das eine bösartige LNK-Datei enthielt.
Sobald die Verknüpfungsdatei gestartet wurde, wurde mshta.exe missbraucht, um eine entfernte HTA-Datei abzurufen und auszuführen. Die HTA zeigte ein Täuschungsformular an, um das Opfer abzulenken, während gleichzeitig eine ausführbare Datei heruntergeladen wurde, die Shellcode in einen legitimen Prozess wie RuntimeBroker.exe injizierte. CERT-UA stellte auch fest, dass spätere Phasen der Kampagne auf einen zweistufigen Loader angewiesen waren, wobei die zweite Stufe ein proprietäres ausführbares Format verwendete und die endgültige Nutzlast zusätzlich komprimiert und verschlüsselt wurde, um die Erkennung und Analyse zu erschweren.
Zu den in der Kampagne identifizierten nächsten Stufenkomponenten gehörten RAVENSHELL, das als Reverse-Shell-Stager fungierte, SILENTLOOP, ein PowerShell-basiertes Tool, das in der Lage ist, Befehle auszuführen und Command-and-Control-Daten zu erhalten, und AGINGFLY, die primäre Malware-Familie, die in der Operation verwendet wurde. CERT-UA-gebundene Berichte weisen darauf hin, dass AGINGFLY für Fernsteuerung, Datendiebstahl und nachfolgende Kompromittierungsaktivitäten entwickelt wurde.
Die Kampagne unterstützte auch den Anmeldedaten-Diebstahl, Aufklärung und laterale Bewegungen. Ermittler beobachteten den Einsatz von Tools zum Extrahieren von Daten aus Chromium-basierten Browsern, Zugreifen auf messaging-bezogene Daten, Scannen interner Netzwerke und Tunneln von Datenverkehr über kompromittierte Umgebungen. In einem der untersuchten Fälle deuteten forensische Beweise darauf hin, dass möglicherweise Vertreter der ukrainischen Streitkräfte mit bösartigen ZIP-Archiven, die über Signal verbreitet wurden und denen zur Bereitstellung von AGINGFLY über DLL-Side-Loading entwickelt worden waren, ins Visier genommen wurden.
Um die Exposition gegenüber dieser Aktivität zu verringern, empfiehlt CERT-UA, die Ausführung riskanter Dateitypen wie LNK, HTA und JS einzuschränken und gleichzeitig die Nutzung nativer Windows-Tools, die häufig in der Infektionskette missbraucht werden, wie mshta.exe, powershell.exe und wscript.exe, zu begrenzen oder genau zu überwachen.
MITRE ATT&CK-Kontext
Die Nutzung von MITRE ATT&CK hilft dabei, die neuesten UAC-0247-Aktivitäten zu kontextualisieren. Basierend auf den gemeldeten TTPs umfassen die relevantesten Techniken wahrscheinlich Phishing: Spearphishing-Link (T1566.002), Befehl und Skriptausführung, Prozessinjektion (T1055), Webprotokolle / WebSockets für C2, Anmeldedatenzugriff und laterale Bewegung über Tunneln und Proxying-Tools. Diese Zuordnung spiegelt die Phishing-Köder, täuschende Web-Zustellung, LNK-zu-HTA-Ausführung, Shellcode-Injektion, AGINGFLY-Bereitstellung und nachfolgende Anmeldedaten-Diebstahl sowie interne Aufklärungen wider.
