Schwachstellen in MS Outlook und WinRAR: APT-Gruppe TA422 attackiert zahllose Unternehmen in Europa und Nordamerika

Die mit Russland in Verbindung stehende Cyberkriminellen-Gruppe TA422 – auch bekannt als APT28, Forest Blizzard, Pawn Storm, Fancy Bear und BlueDelta – hat es vor allem auf Unternehmen der Luft- und Raumfahrtbranche, dem Bildungswesen, dem Finanzsektor, dem Technologiesektor und dem Fertigungsbereich abgesehen. Zudem nimmt die Gruppe vor allem staatliche Stellen in Europa und Nordamerika ins Visier. Dabei setzten die Angreifer vor allem auf Phishing-Kampagnen mit einer Vielzahl an Nachrichten.

Dies ist das Ergebnis einer neuen Untersuchung des Cybersicherheitsunternehmens Proofpoint, dessen Security-Experten seit März 2023 eine Reihe von Phishing-Aktivitäten von TA422 beobachten konnten. Die Cyberkriminellen machen sich bei ihren Kampagnen bekannte Schwachstellen zunutze, die noch nicht von allen IT-Abteilungen gepatcht wurden, und verschaffen sich so Zugang zu den Systemen ihrer Opfer.

Die wichtigsten Untersuchungsergebnisse:

  • Proofpoint-Experten haben umfangreiche Phishing-Aktivitäten beobachtet, bei denen TA422 Organisationen aus den Bereichen Luft- und Raumfahrt, Bildungswesen, Finanzwirtschaft, Fertigung und dem Technologiesektor sowie staatliche Einrichtungen in Europa und Nordamerika ins Visier nahm. Die Gruppe hat es mutmaßlich auf Benutzerdaten bzw. das Initiieren von Folgeaktivitäten abgesehen.
  • Seit März 2023 konnte Proofpoint einen erheblichen Anstieg der versendeten E-Mails feststellen. Bei diesen Aktivitäten wurde unter anderem die Sicherheitslücke CVE-2023-23397 ausgenutzt – eine Schwachstelle in Microsoft Outlook, mit der erweiterte Berechtigungen erlangt werden können. Im Spätsommer 2023 haben die Cyberkriminellen mehr als 10.000 E-Mails verschickt, mit denen diese Schwachstelle ausgenutzt werden sollte. Auch eine WinRAR-Schwachstelle (CVE-2023-38831) machten sich die Täter zunutze.
  • Bei den Absender-Adressen gaben sich die Täter als geopolitische Organisationen aus und griffen in den Betreffzeilen u.a. den BRICS-Gipfel sowie eine Sitzung des Europäischen Parlaments als Köder auf.

„Die russische APT-Gruppe TA422 hat den Missbrauch bekannter Schwachstellen mit umfangreichen E-Mail-Kampagnen fortgesetzt. Dabei zielen sie auf Behörden, die Rüstungs-, Luft- und Raumfahrtindustrie sowie auf Hochschulen in Europa und Nordamerika ab“, fasst Greg Lesnewich zusammen, Senior Threat Researcher bei Proofpoint. „Die Aktionen der Gruppe deuten darauf hin, dass sie versuchen, leicht zu infiltrierende Netzwerke zu entdecken, die von strategischem Interesse sind. Die in diesen Kampagnen verwendeten Payloads, Taktiken und Techniken belegen eine endgültige Abkehr von kompilierter Malware durch TA422, mit der sie sich üblicherweise dauerhaften Zugriff auf die Zielnetzwerke sicherten. Ziel scheint nun ein leichterer, auf Zugangsdaten ausgerichteten Zugriff zu sein.“

Überblick über die Aktivitäten von TA422

Seit März 2023 konnten die Proofpoint-Experten beobachten, dass die russische APT-Gruppe TA422 bekannte, noch nicht von allen IT-Abteilungen gepatchte Schwachstellen ausnutzt, um eine Vielzahl von Organisationen in Europa und Nordamerika anzugreifen. Die Gruppe wird von den US-Geheimdiensten dem russischen Generalstabsdirektorat (GRU) zugeordnet. Während TA422 gewöhnliche zielgerichtete Aktivitäten durchführte und Mockbin und InfinityFree für die URL-Umleitung nutzte, kam es laut den Daten von Proofpoint zu einem signifikanten Anstieg bei der Anzahl an E-Mails, die CVE-2023-23397 ausnutzten, eine Schwachstelle in Microsoft Outlook. Dazu gehörten mehr als 10.000 E-Mails, die die Angreifer von einem einzigen E-Mail-Anbieter an Unternehmen in den Bereichen Verteidigung, Luft- und Raumfahrt, Technologie und Fertigung sowie an staatliche Einrichtungen sendete. Kleinere Nachrichtenvolumen zielten auch auf Organisationen in den Bereichen Hochschulbildung, Bauwesen und Beratung ab. Die Forscher von Proofpoint identifizierten ferne Kampagnen von TA422, die eine WinRAR-Schwachstelle (CVE-2023-38831) zur Remote-Ausführung auszunutzen versuchten.

Eine detailliere Analyse der von Proofpoint beobachteten Cyberkampagnen von TA422 sowie technische Details zu den Sicherheitslücken finden Sie im neuesten, englischsprachigen Threat Blog des Unternehmens.

Firmenkontakt und Herausgeber der Meldung:

Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de

Ansprechpartner:
Matthias Uhl
AxiCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel