Malware im Anmarsch: Russische Hacker locken westliche Diplomaten mit BMW-Werbung
Durch Werbemails für Fahrzeuge von BMW haben russische Hacker versucht, eine Malware auf Rechnern westlicher Diplomaten zu platzieren.
Die mit dem russischen Auslandsgeheimdienst Foreign Intelligence Service in Verbindung stehende Hackergruppe APT29 nahm kürzlich einige westliche Diplomaten in der Ukraine ins Visier und versuchte deren Rechner mit einer Schadsoftware zu infizieren, um sich darauf eine Hintertür zu schaffen. Wie Bleeping Computer berichtet, entdeckten Sicherheitsforscher von Unit 42 die Phishing-Angriffe der auch unter den Namen Nobelium oder Cloaked Ursa bekannten Hacker erstmals im Mai 2023.
Eine Malware im Gewand eines BMW-Fotos
Dabei nutzten die Angreifer Werbeanzeigen für Kraftfahrzeuge des deutschen Herstellers BMW, um in Kiew befindliche Diplomaten zu einem Klick auf einen bösartigen Link zu verleiten. Die Anzeigen landeten direkt im E-Mail-Postfach der Zielpersonen, wobei die Hacker einen Großteil der dafür erforderlichen Adressen aus öffentlichen Quellen beziehen konnten. Rund 20 Prozent der E-Mail-Adressen soll APT29 sich aber erarbeitet haben – etwa durch die Kompromittierung anderer Konten, in denen derartige Informationen gespeichert waren.
Der in die Mails eingebettete Shortlink versprach den Zielpersonen einen Zugriff auf "weitere hochwertige Fotos" des beworbenen Fahrzeugs. Auf der damit aufgerufenen Webseite machten die Angreifer schließlich von einer Technik namens HTML Smuggling Gebrauch, um bösartige Nutzdaten in verschlüsselten Zeichenfolgen zu verstecken, damit gängige Firewalls und andere Sicherheitstools diese nicht erkennen. Die Entschlüsselung fand dabei nach einem weiteren Klick direkt im Browser des Anwenders statt.
Anschließend erhielt die Zielperson eine ISO-Datei, in der augenscheinlich neun Bilder im PNG-Format enthalten sind. Tatsächlich handelt es sich dabei jedoch um getarnte LNK-Dateien, die zwar zur Ablenkung der Nutzer wirklich jeweils ein Bild öffnen, zusätzlich aber im Hintergrund eine Infektionskette auslösen, bei der via DLL-Hijacking schadhafter Code in den Speicher geladen und ausgeführt wird.
Anzahl erfolgreicher Infektionen bisher unbekannt
Wie aus dem Bericht von Unit 42 hervorgeht, waren mindestens 22 von 80 in Kiew befindlichen Diplomaten aus verschiedensten Ländern Ziel dieser Kampagne. Wie viele davon APT29 tatsächlich dazu bewegen konnte, die bösartigen BMW-Fotos herunterzuladen, teilten die Forscher allerdings nicht mit.
Schon in der Vergangenheit zielte APT29 durch zahlreiche Cyberspionage-Kampagnen auf hochrangige Regierungsbeamte. Zuletzt richteten sie ihre Aufmerksamkeit vornehmlich auf Mitglieder der Nato, EU oder Ziele in der Ukraine.