Microsoft stoppt Phishing-Kampagne russischer Hacker gegen NATO-Ziele

Das Microsoft Threat Intelligence Center (MSTIC) hat eine Hacking- und Social-Engineering-Operation gegen Menschen und Organisationen in NATO-Ländern unterbrochen. Der Akteur dahinter war gemäss "Bleepingcomputer" Seaborgium, eine wahrscheinlich vom russischen Staat gesponserte Gruppierung.

Die Gruppierung ist bei Google als "ColdRiver" und bei Proofpoint als TA446 bekannt. Ihre Ziele sind hauptsächlich NATO-Länder, aber einzelne Kampagnen hätten auch in den baltischen Staaten, den nordischen Ländern und Osteuropa - inklusive der Ukraine - stattgefunden. Das Ziel ist vermutlich der Diebstahl sensibler E-Mails von Organisationen und Personen, die für Russland von Interesse sind.

Microsoft erklärte in seinem Bericht, dass es Seaborgium innerhalb der Zielländer primär auf Verteidigungs- und Geheimdienstberatungsunternehmen, Nichtregierungsorganisationen und zwischenstaatliche Organisationen sowie Think Tanks und Hochschulen abgesehen hat. Ehemalige Geheimdienstmitarbeitende, Expertinnen und Experten für russische Angelegenheiten und russische Staatsbürger im Ausland seien ebenfalls im Visier.

Das Vorgehen von Seaborgium

Für die Social-Engineering-Kampagnen erstellt Seaborgium online gefälschte Personen über E-Mail-, Social-Media- und Linkedin-Konten, wie "Bleepingcomputer" weiter schreibt. Mit diesen Personas nehme die Gruppierung Kontakt mit den Zielpersonen auf, baue eine Beziehung auf und versende schliesslich einen Phishing-Anhang. Das seien etwa PDFs, Links zu File-Hosting-Diensten oder zu Onedrive-Konten mit PDF-Dokumenten gewesen.

Versuche eine Zielperson den Anhang öffnen, erscheine eine Meldung, die besage, dass das Dokument nicht angezeigt werden könne und dass man es erneut versuchen solle. Bei einem weiteren Klick auf die Schaltfläche landeten die Opfer gemäss "Bleepingcomputer" auf einer Landing Page, auf der Phishing-Frameworks wie "EvilGinx" ausgeführt werden und ein Anmeldeformular für den jeweiligen Dienst angezeigt wird. Da das Framework als Proxy fungiere, können Bedrohungsakteure die dort eingegebenen Anmeldedaten und Authentifizierungs-Cookies/Tokens, die nach der Anmeldung generiert werden, stehlen.

Die USA haben im August übrigens ein Millionen-Kopfgeld auf die ehemaligen Mitglieder der prorussischen Ransomware-Bande Conti ausgesetzt. Hier erfahren Sie mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.