Global agierende Spionagekampagne Winter-Vivern

Die Analyse zeigt, dass die Aktivitäten von Winter-Vivern eng mit globalen Zielen verbunden sind, die die Interessen der Regierungen von Belarus und Russland unterstützen. Der Bedrohungsakteur wendet verschiedene Taktiken an, wie z. B. Phishing-Websites, Phishing von Anmeldedaten und die Bereitstellung bösartiger Dokumente, die auf die spezifischen Anforderungen der Zielorganisation zugeschnitten sind. Dies führt zur Bereitstellung benutzerdefinierter Ladeprogramme und bösartiger Dokumente, die den unbefugten Zugriff auf sensible Systeme und Informationen ermöglichen.

Der Advanced Persistent Threat (APT) Winter-Vivern ist eine bemerkenswerte, aber noch relativ unbekannte Gruppe, die mit pro-russischen Akteuren operiert. DomainTools machte die Gruppe Anfang 2021 erstmals publik und benannte sie auf der Grundlage einer anfänglichen Befehls- und Kontroll-URL-Zeichenkette „wintervivern“, die nicht mehr verwendet wird. Einige Monate später veröffentlichte Lab52 zusätzliche Analysen, die neue Aktivitäten in Verbindung mit Winter-Vivern aufzeigten.

Technische Details veröffentlicht

Die Gruppe hat es seitdem vermieden, an die Öffentlichkeit zu gehen, bis zu den jüngsten Angriffen auf die Ukraine. Ein Teil einer Winter-Vivern-Kampagne wurde in den letzten Wochen vom polnischen CBZC und anschließend vom ukrainischen CERT als UAC-0114 gemeldet. Bei dieser Aktion wurden gemeinsam technische Details veröffentlicht, die den Sicherheitsforschern halfen, eine breitere Palette der Aktivitäten des Bedrohungsakteurs zu identifizieren, zusätzlich zu neuen Opfern und zuvor unbekannten technischen Details. Insgesamt wurde festgestellt, dass es sich bei dem Akteur um eine ressourcenbeschränkte, aber äußerst kreative Gruppe handelt, die sich jedoch beim Umfang ihrer Angriffe in Zurückhaltung übt. Besorgniserregend ist der Fakt, dass die Aktivitäten auf Angriffsziele weltweit gerichtet sind.

Die Analyse der bisherigen Aktivitäten von Winter-Vivern offenbart, dass der APT seit 2021 verschiedene Regierungsorganisationen ins Visier genommen hat, darunter Ziele in Litauen, Indien, dem Vatikan und der Slowakei. Kürzlich verlinkte Kampagnen zeigen, dass Winter-Vivern auch polnische Regierungsbehörden, das ukrainische Außenministerium, das italienische Außenministerium und Einzelpersonen innerhalb der indischen Regierung angegriffen hat. Von besonderem Interesse ist, dass der APT es auch auf Privatunternehmen abgesehen hat, einschließlich Telekommunikationsunternehmen, die die Ukraine im laufenden Krieg unterstützen. Die Tatsache, dass die Bedrohungsakteure es auf eine Reihe von staatlichen und privaten Einrichtungen abgesehen haben, macht deutlich, dass erhöhte Wachsamkeit geboten ist, da die Operationen eine Reihe globaler Ziele umfassen, die direkt und indirekt in den Ukraine-Krieg verwickelt sind.

Verwendung manipulativer Dokumente

Zu den Taktiken gehört die Verwendung manipulativer Dokumente, die oft aus authentischen, öffentlich zugänglichen Regierungsdokumenten erstellt oder auf bestimmte Themen zugeschnitten werden. In jüngster Zeit hat die Gruppe eine neue Ködertechnik angewandt, bei der Regierungsdomänen nachgeahmt werden, um schädliche Downloads zu verbreiten. Anfang 2023 griffen die Bedrohungsakteure bestimmte Regierungswebsites an, indem sie einzelne Seiten auf einer einzigen bösartigen Domain erstellten, die denen des polnischen Zentralbüros für die Bekämpfung der Cyberkriminalität, des ukrainischen Außenministeriums und des ukrainischen Sicherheitsdienstes sehr ähnlich waren. Mitte 2022 nutzten die Angreifer auch eine interessante, weniger bekannte Phishing-Webseite für staatliche E-Mail-Zugangsdaten. Ein Beispiel hierfür ist „ocspdep[.]com“, mit dem Nutzer des legitimen E-Mail-Dienstes der indischen Regierung email.gov.in angegriffen wurden.

Die Bedrohungsakteure agieren sehr einfallsreich und sind in der Lage, mit potenziell begrenzten Ressourcen viel zu erreichen und gleichzeitig flexibel und kreativ bei der Problemlösung vorzugehen. Jüngste Kampagnen zeigen, dass die Gruppe Köder einsetzt, um die Kompromittierung einzuleiten. Dabei werden als Virenscanner getarnte Batch-Skripte verwendet, um Downloads von Malware von Servern unter der Kontrolle der Angreifer zu initiieren.