ESET-Forscher haben eine neue Cyberangriffskampagne detailliert beschrieben, die sich im Zuge des Krieges der Ukraine gegen Russland gegen ukrainische Organisationen richtet.
Die Kampagne besteht aus mehreren Komponenten, die von Bedrohungsakteuren genutzt werden und die derzeit alle nichts miteinander zu tun haben. Dabei handelt es sich hauptsächlich um Wiper und sich verbreitende Trojaner, die bisher keinem bekannten Bedrohungsakteur zugeordnet werden konnten. Forscher haben die IOCs und MITRE-Angriffstechniken aller dieser Komponenten aufgelistet, um sie zu identifizieren und abzuwehren.
Wiper-Malware gegen ukrainische Organisationen
Sicherheitsbehörden und Experten warnen schon lange davor, dass Cyberangriffe auf die Ukraine in den kommenden Tagen zunehmen könnten, da sich das Land im Krieg mit Russland befindet. Und genau das passiert, denn wir sehen eine neue Kampagne, die von den ESET-Forschern in freier Wildbahn entdeckt wurde.
Brechen. ESETForschung hat heute eine neue Datenlösch-Malware entdeckt, die in der Ukraine eingesetzt wird. ESET-Telemetriedaten zeigen, dass sie auf Hunderten von Rechnern im Land installiert war. Dies folgt auf die DDoS-Angriffe auf mehrere ukrainische Websites heute früh 1/n
— ESET-Forschung (@ESETresearch) 23. Februar 2022
Es handelt sich dabei angeblich um einen destruktiven Angriff auf die Computer in der Ukraine, der sich die folgenden Komponenten zunutze macht:
- HermetikWischer: ein Wiper, der die Daten beschädigt und das System letztlich funktionsunfähig macht. Diese Wiper-Malware soll in der Lage sein, sich nach ihrer Arbeit selbst vom betroffenen System zu löschen, um eine Analyse durch forensische Ermittler nach dem Vorfall zu verhindern.
- HermeticWizard: Ein Malware-Verbreiter, der derzeit HermeticWiper über WMI und SMB über das lokale Netzwerk eines Opfers verbreitet.
- HermeticRansom: Dies ist eine in Go geschriebene Lösegeldforderung, die einfach in den Systemen der Opfer verbleibt.
Obwohl sie gemeinsame Namen haben, sind diese drei Komponenten bisher nicht miteinander verwandt. Forscher sagten, sie hätten keine Übereinstimmungen zwischen Links oder Codezeichenfolgen zwischen ihnen gefunden.
Auch die anfänglichen Anziehungsvektoren sind noch nicht bekannt, obwohl es für HermeticWiper und HermeticRansom nur wenige Hinweise darauf gibt, dass sie über die Gruppenrichtlinie eindringen könnten.
Darüber hinaus gibt es noch eine weitere Komponente, die am 25. Februar in einigen ukrainischen Systemen entdeckt wurde, bekannt als IssacWiper. Obwohl der Anfangsvektor unklar ist, soll es Tools wie Impacket verwenden, um sich seitlich zu bewegen.
Außerdem soll es kommen mit RemComein Fernzugriffstool zusammen mit IsaacWiper. Während die Systeme, auf denen IsaacWiper beobachtet wurde, nicht betroffen waren, wurde HermeticWiper in Hunderten von Systemen in mindestens fünf ukrainischen Organisationen entdeckt.
Die Forscher untersuchen diese Komponenten noch immer, um weitere Einzelheiten zu erfahren, da sie bisher keine zuverlässigen Verbindungen zu einem bekannten Bedrohungsakteur gefunden haben. Sie sagten jedoch, dass die Angreifer diese Operation schon lange im Voraus begonnen hätten, da einige Hinweise wie Zeitstempel der von diesen Komponenten verwendeten Zertifikate letztes Jahr registriert wurden.
