Phishing-Attacken gegen Flüchtlingshelfer

Mitarbeiter von Organisationen, die sich um die Unterstützung von Flüchtlingen aus dem Ukraine-Konflikt bemühen, sind ins Visier einer wahrscheinlich staatlich gesponserten Phishing-Kampagne geraten, deren Ziel die Verbreitung von Malware ist.

Nach Angaben von Proofpoint wurde für den Angriff ein kompromittiertes persönliches E-Mail-Konto eines Mitglieds der ukrainischen Streitkräfte ausgenutzt. Dieses wurde dann dazu verwendet, gezielte Phishing-Angriffe an europäische Regierungsmitarbeiter zu senden, die mit der Verwaltung der Hilfe für ukrainische Flüchtlinge vor der russischen Invasion betraut sind.

Das Ziel der Angriffe ist wahrscheinlich der Versuch, Informationen aus den NATO-Mitgliedsländern zu erhalten. Forscher haben die Kampagne vorläufig mit einer Hackergruppe namens TA445 in Verbindung gebracht, die Teil einer umfassenderen Operation namens UNC1151 ist, die zuvor mit der Regierung von Belarus in Verbindung gebracht wurde.

Die Forscher stellen jedoch auch fest, dass sie „noch keine konkreten technischen Überschneidungen festgestellt haben, die es uns erlauben würden, diese Kampagne definitiv zuzuordnen“.

Die ersten Phishing-E-Mails wurden am 24. Februar entdeckt. Sie stammten von einer ukrainischen E-Mail-Adresse und wurden an eine nicht näher genannte europäische Regierungsbehörde geschickt. Die Betreffzeile verweist auf den Notstand in der Ukraine und enthält eine Excel-Datei mit dem Namen „Personenliste“, die die bösartigen Makros enthält. Wenn die Makros aktiviert sind, wird das Dokument heruntergeladen und Malware installiert.

Bei der Malware mit dem Namen SunSeed scheint es sich um einen Downloader zu handeln, der zusätzliche Nutzdaten liefern soll. Es wird vermutet, dass der Zweck dieser Angriffe darin besteht, Personen mit Zuständigkeiten in den Bereichen Transport, Finanz- und Haushaltszuweisung, Verwaltung und Bevölkerungsbewegungen innerhalb Europas zu verfolgen, möglicherweise mit dem Ziel, Informationen über Geld-, Liefer- und Personenbewegungen zu erhalten.

Die Forscher weisen auch darauf hin, dass TA445 in der Vergangenheit Desinformationskampagnen durchgeführt hat, die darauf abzielten, eine flüchtlingsfeindliche Stimmung zu erzeugen. Wenn diese Phishing-Kampagne mit der Gruppe in Verbindung steht, könnten die gestohlenen Informationen für ähnliche Operationen missbraucht werden.

Proofpoints Analyse dieser Phishing-Kampagne, die auf Flüchtlingshilfe abzielt, folgt auf eine Warnung des Computer Emergency Response Team for Ukraine (CERT-UA), dass Phishing-Angriffe – einschließlich solcher, die vermutlich weißrussischen Ursprungs sind – versuchen, Ziele in der Ukraine zu kompromittieren.

Es wird davon ausgegangen, dass die Kampagnen, die auf europäische Regierungen und Mitarbeiter in der Flüchtlingshilfe abzielen, so lange andauern werden, wie der Krieg die Menschen vertreibt.

„Diese Kampagne stellt einen Versuch dar, NATO-Einrichtungen mit kompromittierten ukrainischen Militärkonten während eines aktiven bewaffneten Konflikts zwischen Russland, seinen Stellvertretern und der Ukraine anzugreifen. Während die in dieser Kampagne verwendeten Techniken einzeln nicht bahnbrechend sind, können sie, wenn sie gemeinsam und während eines Konflikts mit hohem Tempo eingesetzt werden, sehr effektiv sein“, so die Forscher von Proofpoint in ihrem Blogbeitrag. „Sich dieser Bedrohung bewusst zu sein und sie öffentlich zu machen, ist von größter Bedeutung, um das Bewusstsein der Zielpersonen zu schärfen“, fügten sie hinzu.

Mehrere andere Phishing-Kampagnen versuchen ebenfalls, den Russland-Ukraine-Krieg auszunutzen, um Passwörter, Finanzinformationen und andere sensible Daten zu stehlen und möglicherweise auch Malware zu verbreiten. Microsoft hat eine Reihe von so genannten „opportunistischen Phishing-Kampagnen“ beschrieben, die maßgeschneiderte Phishing-Kampagnen mit Bezug zur Ukraine einsetzen.