Sandworm kommt über Follina

Russische Hacker nutzen Windows-Lücke für Angriffe auf Ukraine aus

Uhr
von Kevin Fischer und jor

Das ukrainische CERT warnt vor E-Mails mit bösartigen Inhalten von der russischen Hackergruppe Sandworm. Die Gruppe nutzt für ihre Angriffe die Windows-Schwachstelle Follina aus.

(Source: typographyimages / Pixabay.com)
(Source: typographyimages / Pixabay.com)

Die russische Hackergruppe Sandworm nutzt womöglich die Windows-Lücke Follina, um ukrainische Akteure anzugreifen. Davor warnt derzeit das ukrainische Computer Emergency Response Team (CERT), wie "Bleepingcomputer" berichtet. Die Hacker würden über die Lücke E-Mails mit bösartigen Inhalten an ukrainische Medienorganisationen verschicken. CERT geht mit mittlerer Sicherheit davon aus, dass die Mail-Kampagne von Sandworm stammt.

Die Mails haben den Betreff "LIST of links to interactive maps" und einen gleichnamigen DOCX-Anhang. Wird dieser geöffnet, führt der Computer einen Javascript-Code aus, der eine Nutzlast namens "2.txt" abruft. Diese wird von CERT-UA als "bösartiger CrescentImp" eingestuft. CERT-UA habe eine Liste mit Hinweisen auf eine mögliche Gefährdung bereitgestellt. Zu welcher Malware-Familie "CrescentImp" gehört und welche Funktion es hat, sei derzeit unklar.

Windows-Lücke schon bekannt

Bei der Windows-Lücke Follina handelt es sich um eine Schwachstelle im Microsoft Windows Support Diagnostic Tool (MSDT), die eine Remote-Kontrolle erlaubt. Follina wird derzeit unter der Nummer CVE-2022-30190 geführt. Anfang Juni wurde bekannt, dass auch die Malware Qbot die Zero-Day-Schwachstelle ausnutzt. Hier erfahren Sie mehr dazu.

Die russische Hackergruppe Sandworm erreichte unrühmliche Bekanntheit mit mehreren politisch motivierten Angriffe, unter anderem auf die ukrainische Stromversorgung im Jahr 2014. Ende 2020 identifizierten die USA die Gruppe als Teil des russischen Militärs. Im Rahmen von Russlands Krieg gegen die Ukraine stellten die USA Kopfgelder von bis zu 10 Millionen US-Dollar auf die Mitglieder von Sandworm aus. Hier erfahren Sie mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_259425