Bedrohung aus Russland: Hacker nutzen Exchange-Server als Malware-Steuerzentrale

Sicherheitsforscher von Microsoft haben in Zusammenarbeit mit dem ukrainischen Computer-Emergency-Response-Team (Cert-UA) eine neuartige Backdoor namens Deliverycheck entdeckt, die kriminelle Akteure derzeit aktiv einsetzen, um den Verteidigungssektor in der Ukraine und in Osteuropa anzugreifen. Die über die .NET-Plattform entwickelte Schadsoftware kommt einem Twitter-Thread von Microsoft Threat Intelligence zufolge über mit bösartigen Makros versehene und per E-Mail übermittelte Dokumente auf die jeweiligen Zielsysteme.

Weitere Anweisungen erhalte Deliverycheck von einem Command-and-Control-Server (C2), zu dem die Malware nach ihrem Start eine Verbindung herstellt. Persistenz erreiche sie durch die Erstellung einer geplanten Aufgabe auf dem Zielsystem, während zusätzlicher Schadcode in einem XSLT-Stylesheet eingebettet sein soll. Um sensible Daten von infiltrierten Rechnern zu exportieren, setzen die Hacker auf Tools wie rclone oder die Kazuar-Backdoor. Darüber hinaus sollen die böswilligen Akteure über Deliverycheck auch auf private Nachrichten, Dokumente und Bilder aus Messenger-Apps wie Signal Desktop zugreifen können.

Weiterhin habe Microsoft beobachtet, wie die Angreifer Exchange-Server infiltriert und diese über ein spezielles Powershell-Skript in einen Kontrollserver zur Steuerung ihrer Malware verwandelt haben. Dafür nutzten sie eine Komponente namens Desired State Configuration (DSC), mit der Administratoren unter anderem standardisierte Serverkonfigurationen erstellen, um sie auf verschiedene Systeme anzuwenden.

Die Spuren führen nach Russland

Einem Bericht von Bleeping Computer zufolge soll eine vom russischen Staat gesponserte Hackergruppe namens Turla hinter den Angriffen stecken – ebenfalls bekannt als Secret Blizzard, Krypton oder UAC-0003. Schon in der Vergangenheit soll die Gruppe wiederholt mit Angriffen auf westliche Ziele in Verbindung gebracht worden sein.

Bei Deliverycheck handelt es sich demnach um ein Spionagewerkzeug, das die Angreifer auf Zielsystemen Skripte ausführen und Protokolldaten, Systemdateien, Authentifizierungstoken, Cookies sowie Anmeldeinformationen aus einer Vielzahl von Programmen stehlen lässt. Von den 70 Sicherheitstools, mit denen Virustotal hochgeladene Dateien auf potenziellen Schadcode überprüft, erkennen bisher erst 20 Deliverycheck als Malware.