Hackergruppe „Winter Vivern“ attackiert NATO und Regierungskreise

Die Hackergruppe hinter diesen Attacken, TA473, wird von Sicherheitsexperten wie DomainTools, Lab52, Sentinel One und dem ukrainischen CERT gemeinhin als „Winter Vivern“ bzw. „UAC-0114“ geführt. Proofpoint beobachtet den Aktivitätscluster rund um TA473 seit 2021. Diese Gruppe hat in der Vergangenheit bereits Phishing-Kampagnen genutzt, um sowohl PowerShell- als auch JavaScript-Payloads zu übermitteln. Nach wie vor führt TA473 zudem Kampagnen durch, um über Phishing-E-Mails Anmeldeinformationen zu stehlen. Seit 2021 konnte Proofpoint beobachten, dass die Gruppe zunehmend europäische Regierungs-, Militär- und diplomatische Einrichtungen mit Hilfe von Phishing-Kampagnen ins Visier nimmt. Ende 2022 konnten die Security-Experten bei Proofpoint auch Phishing-Kampagnen identifizieren, die auf Mandatsträger und Angestellte in den Vereinigten Staaten abzielten. Seit dem Ausbruch des Krieges zwischen Russland und der Ukraine konnten die Security-Forscher Überschneidungen bei den Zielen, den Social-Engineering-Ködern und den imitierten Personen feststellen. Bei den Zielpersonen der Angriffe handelt es sich häufig um Experten aus der europäischen Politik oder Wirtschaft, die in Verbindung zu dem im aktuellen Konflikt betroffenen Regionen stehen. Die Social-Engineering-Köder und imitierten Organisationen beziehen sich im Kontext des Krieges häufig auf die Ukraine.

Aufbau einer TA473-Phishing-Kampagne

Die Sicherheitsforscher von Proofpoint konnten seit 2021 einen Anstieg von TA473-Phishing-Kampagnen beobachten. Dabei setzte die Gruppe auf opportunistische Exploits, um ihre Opfer anzugreifen. Dazu gehören sogenannte 1-Day-Sicherheitslücken wie die im Mai 2022 veröffentlichte Follina-Schwachstelle (CVE-2022-30190). In den meisten Fällen verwenden diese Angreifer jedoch eine Reihe von Phishing-Techniken.

Die folgenden Phishing-Taktiken wurden sowohl bei US-amerikanischen als auch bei europäischen Zielen sowie bei Kampagnen zum Diebstahl von Anmeldeinformationen, zur Verbreitung von Malware und zur Ausführung von Cross-Site Request Forgery beobachtet.

1. TA473 versendet E-Mails von kompromittierten E-Mail-Adressen. Häufig stammen diese E-Mails von mit WordPress gehosteten Domains, die zum Zeitpunkt der Kompromittierung nicht gepatcht bzw. unsicher sind.
2. TA473 fälscht das Absenderfeld der E-Mail, um sich als Benutzer der Zielorganisation auszugeben.

Oder TA473 fälscht das Absenderfeld der E-Mail, um sich als eine in der Weltpolitik gemeinhin bekannte Organisation auszugeben.

1. TA473 nutzt eine unverdächtige URL entweder der Zielorganisation oder einer relevanten Partnerorganisation im Text der E-Mail.
2. TA473 verlinkt sodann diese harmlose URL mit einer Infrastruktur, die von ihr kontrolliert oder kompromittiert wird, um eine Payload der ersten Stufe zu übermitteln oder auf eine Landing Page weiterzuleiten, mit deren Hilfe Anmeldeinformationen gesammelt werden.
3. TA473 verwendet häufig strukturierte URL-Pfade, die einen Hash-Wert für die Zielperson, einen unverschlüsselten Verweis auf die Zielorganisation und in einigen Fällen verschlüsselte oder Klartextversionen der in der ursprünglichen E-Mail an die Zielpersonen verlinkten unverdächtigen URL enthalten.