Analysten von Kaspersky haben zum Jahresende eine neue zielgerichtete Cyberkampagne der pro-ukrainischen Gruppe Head Mare beobachtet. Im Fokus stehen russische Behörden sowie Unternehmen aus dem Bau- und Industriesektor. Zentrales Element des aktualisierten Toolsets ist der neue PowerShell-Backdoor PhantomHeart, der den früher eingesetzten DLL-basierten Malware-Typ ablöst.
Head Mare verlagert Angriffe auf PowerShell und Living-off-the-Land (LOTL)
Der Wechsel von kompilierten Binärdateien zu PowerShell-Skripten zeigt einen klaren strategischen Kurs in Richtung Living-off-the-Land (LOTL). Bei LOTL-Angriffen missbrauchen Angreifer vorhandene, legitime Systemkomponenten – etwa powershell.exe, ssh.exe, den Aufgabenplaner oder bordeigene Administrationswerkzeuge – anstatt eigene „schwere“ Malware auf die Systeme zu bringen.
Diese Technik erschwert die Erkennung erheblich: Die Aktivität ähnelt normalen Verwaltungsoperationen, klassische signaturbasierte Antivirenlösungen greifen oft zu kurz. Branchenberichte von Anbietern wie Microsoft oder Mandiant zeigen, dass LOTL-Taktiken inzwischen zu den dominierenden Methoden moderner Cyberspionage-Kampagnen zählen. Head Mare reiht sich damit in einen breiten Trend ein, der insbesondere große, komplexe Netzwerke ausnutzt, in denen umfangreiche Systemtools ohnehin vorhanden sind.
Erstzugriff über TrueConf-Schwachstelle BDU:2025-10114 und Phishing
Der anfängliche Angriffsvektor der Gruppe hat sich im Kern nicht verändert. Head Mare nutzt weiterhin eine bekannte Schwachstelle im Videokonferenzprodukt TrueConf Server (BDU:2025-10114), die bei fehlenden Sicherheitsupdates eine Remote-Kompromittierung des Servers ermöglicht. Betroffene Systeme fungieren anschließend als Einfallstor in die interne Infrastruktur.
Parallel dazu setzen die Angreifer unverändert auf Phishing-Kampagnen, etwa in Form präparierter E-Mails mit schadhaften Anhängen oder Links. Die Kombination aus ausnutzbarer Server-Schwachstelle und sozialer Ingenieurskunst erlaubt es Head Mare, für jedes Ziel den bequemsten oder erfolgversprechendsten Einstieg zu wählen – ein Vorgehen, das in vielen APT-Kampagnen beobachtet wird.
PhantomHeart: PowerShell-Backdoor mit SSH-Tunnel und Systemaufklärung
Im Stadium nach der erfolgreichen Kompromittierung setzt die Gruppe primär auf den PowerShell-Backdoor PhantomHeart. Das Skript baut auf Anweisung der Command-and-Control-Infrastruktur (C2) einen SSH-Tunnel auf und verschafft den Angreifern damit einen stabilen, verdeckten Remotezugang zum infizierten System.
Zusätzlich sammelt PhantomHeart grundlegende Systeminformationen, darunter Computername, Domänenkontext, externe IP-Adresse und einen eindeutigen Opfer-Identifier. Diese Daten dienen der Priorisierung interessanter Ziele, der Zuordnung zu Kampagnen und der späteren Seitwärtsbewegung in der kompromittierten Umgebung.
Persistenz über Aufgabenplaner und Tarnung als LiteManager-Update
Besonders auffällig ist der Mechanismus zur Persistenz. In mindestens einem dokumentierten Fall wurde PhantomHeart über den Windows-Aufgabenplaner gestartet und als legitimes Update-Skript für die verbreitete Remote-Administration-Software LiteManager getarnt. Das schadhafte Skript wurde im Installationsverzeichnis von LiteManager abgelegt und imitierte interne Wartungsaufgaben.
Durch diese Tarnung innerhalb eines bereits vertrauenswürdigen Tools sinkt die Chance, dass Administratoren die bösartige Aktivität bei einer oberflächlichen Prüfung erkennen. Ohne feingranulares Monitoring von Aufgabenplaner-Einträgen, Skriptverzeichnissen und Änderungen an Admin-Tools können solche Täuschungsmanöver selbst erfahrene Teams vor erhebliche Herausforderungen stellen.
PhantomProxyLite: von Binärdienst zu PowerShell und automatisiertem SSH-Tunnel
Ein weiterer Kernbaustein im Arsenal von Head Mare ist PhantomProxyLite, der vollständig von einer Binärdatei zu einem PowerShell-Skript migriert wurde. Früher gab sich das Tool als Windows-Dienst namens SSHService aus; nun ist dieselbe Funktionalität als Skript implementiert, was Anpassung und Verteilung deutlich vereinfacht.
Automatisches Deployment mit Create-SSHServiceTask.ps1 und Nutzung von ssh.exe
Die Persistenz von PhantomProxyLite erfolgt weiterhin über eine geplante Aufgabe mit dem Namen SSHService, die beim Systemstart mit den Rechten von SYSTEM ausgeführt wird. Das Skript nutzt denselben Registry-Schlüssel zur Ablage der Port-Konfiguration, erzeugt eine temporäre Konfigurationsdatei für den SSH-Tunnel in C:\Windows\Temp und startet anschließend ssh.exe, um einen Reverse-SSH-Tunnel zur Infrastruktur der Angreifer aufzubauen.
Zur Automatisierung dient das Hilfsskript Create-SSHServiceTask.ps1. Es legt die benötigte Aufgabe an oder initialisiert sie neu, nachdem eine eventuell vorhandene Aufgabe gleichen Namens entfernt wurde. Dieses Vorgehen erlaubt ein skalierbares, weitgehend vollautomatisiertes Roll-out des Backdoors über viele Hosts hinweg – ein wichtiger Faktor für Kampagnen, die parallel zahlreiche Ziele im Behörden- und Industriesektor adressieren.
Zusätzliche Tools: MicroSocks, Post-Exploitation und skalierbare Operationen
Neben PhantomHeart und PhantomProxyLite haben die Forscher ein erweitertes Set von Hilfswerkzeugen identifiziert, die typische Post-Exploitation-Aufgaben abdecken: Persistenz, Rechteausweitung und Netzwerkzugang. Auffällig ist der Einsatz des Open-Source-Projekts MicroSocks, einer Implementierung eines SOCKS5-Proxys von GitHub.
Solche Open-Source-Komponenten bieten zwei Vorteile für Angreifer: Der Entwicklungsaufwand sinkt, und gleichzeitig wird die Attribution erschwert, da dieselben Tools auch in anderen Kampagnen oder sogar in legitimen Administrationsszenarien auftreten können. In der Gesamtbetrachtung zeigt sich, dass Head Mare ihre Infrastruktur konsequent auf Automatisierung und Skalierbarkeit ausrichtet, um Angriffe mit minimalem manuellem Aufwand zu betreiben und nach Gegenmaßnahmen schnell wieder handlungsfähig zu sein.
Für russische Organisationen in Behörden, Bau- und Industriebranchen ergeben sich daraus klare Handlungsfelder: PowerShell- und Skriptaktivitäten müssen streng überwacht, missbräuchliche Nutzung eingebauter Windows-Tools erkannt und bekannte Schwachstellen wie BDU:2025-10114 in TrueConf Server zeitnah geschlossen werden. Empfohlen sind der Einsatz moderner EDR-Lösungen, zentralisierte Log-Sammlung (inklusive PowerShell-Logging und Ereignisanalyse), regelmäßige Prüfungen des Aufgabenplaners und der Verzeichnisse von Remote-Administration-Software sowie Schulungen für IT- und Sicherheitsteams zum Erkennen typischer LOTL-Muster. Wer diese Maßnahmen konsequent umsetzt, erhöht die Chancen erheblich, Kampagnen wie die von Head Mare frühzeitig aufzudecken und den möglichen Schaden zu begrenzen.
