Die Cyber-Bedrohungsgruppe Core Werewolf, auch bekannt als PseudoGamaredon, hat ihre Angriffstaktiken gegen den russischen Verteidigungssektor und kritische Infrastrukturen weiter verfeinert. Sicherheitsexperten warnen vor einer Zunahme der Komplexität und Raffinesse dieser Cyber-Spionage-Kampagnen, die seit 2021 andauern.
Neue Taktiken und Tools im Einsatz
Seit September 2024 setzt Core Werewolf einen neu entwickelten Loader ein, der in der beliebten Skriptsprache AutoIt geschrieben wurde. Diese Entwicklung zielt darauf ab, die Erkennung durch Sicherheitssysteme zu erschweren und die Verweildauer in kompromittierten Netzwerken zu verlängern. Darüber hinaus hat die Gruppe ihre Verbreitungsmethoden erweitert und nutzt nun neben E-Mails auch Messaging-Plattformen wie Telegram für ihre Phishing-Kampagnen.
Anatomie eines Core Werewolf-Angriffs
Die typische Angriffssequenz beginnt mit Phishing-E-Mails, die Links zu RAR-Archiven enthalten. Diese Archive beinhalten selbstentpackende Dateien (SFX), die wiederum schädliche Skripte, legitime Interpreter zur Ausführung und ablenkende PDF-Dokumente enthalten. Wenn ein Benutzer das Archiv öffnet, wird der Inhalt in den temporären Ordner extrahiert. Anschließend wird der AutoIt-Interpreter genutzt, um den Loader zu starten, der die eigentliche Malware auf dem kompromittierten Gerät installiert.
Diversifizierung der Angriffsvektoren
Ab Juni 2024 begannen die Angreifer, mit neuen Zustellungsmethoden zu experimentieren. Neben E-Mails nutzen sie nun verstärkt Messaging-Dienste, insbesondere Telegram, um potenzielle Opfer zu kontaktieren und schädliche Dateien zu verbreiten. Diese Taktik erhöht die Erfolgswahrscheinlichkeit ihrer Phishing-Versuche, da Nachrichten in Messengern oft als vertrauenswürdiger wahrgenommen werden.
Implikationen für die Cybersicherheit
Die kontinuierliche Weiterentwicklung der Angriffsmethoden von Core Werewolf unterstreicht die Notwendigkeit einer robusten und adaptiven Cybersicherheitsstrategie. Oleg Skulkin, Leiter von BI.ZONE Threat Intelligence, erklärt: „Die Erkennungsrate der verwendeten Tools steigt ständig. Infolgedessen modifizieren die Angreifer ihr Arsenal in der Hoffnung, länger unentdeckt zu bleiben. Je seltener ein Tool in Angriffen eingesetzt wird, desto größer ist die Chance, dass Sicherheitslösungen es nicht erkennen können.“
Angesichts dieser sich entwickelnden Bedrohungslandschaft ist es für Organisationen im Verteidigungssektor und in kritischen Infrastrukturen unerlässlich, ihre Sicherheitsmaßnahmen kontinuierlich zu aktualisieren. Dies umfasst die Implementierung fortschrittlicher Erkennungssysteme, regelmäßige Sicherheitsschulungen für Mitarbeiter und die Entwicklung umfassender Incident-Response-Pläne. Nur durch einen proaktiven und ganzheitlichen Ansatz zur Cybersicherheit können Unternehmen und staatliche Einrichtungen ihre digitalen Assets vor hochentwickelten Bedrohungsgruppen wie Core Werewolf schützen.