Cybersecurity-Forscher haben eine hochentwickelte Malware-Kampagne entdeckt, die sich gezielt gegen russische Unternehmen richtet. Die Angreifer verwenden dabei eine innovative Taktik: Sie nutzen populäre Online-Plattformen wie GitHub und Social Media als Zwischenspeicher für verschlüsselte Cobalt Strike Beacon-Payloads. Diese Methode macht die Erkennung durch traditionelle Sicherheitslösungen erheblich schwieriger.
Zeitlicher Verlauf und geografische Ausbreitung der Angriffe
Die ersten Anzeichen dieser Cyber-Bedrohung wurden in der zweiten Jahreshälfte 2024 registriert. Ursprünglich waren Organisationen in Russland, China, Japan, Malaysia und Peru betroffen. Anfang 2025 verzeichneten Sicherheitsexperten einen deutlichen Rückgang der Aktivitäten mit nur sporadischen Angriffsversuchen.
Ein bedeutender Wendepunkt trat im Juli 2025 ein, als Forscher neue Malware-Samples entdeckten, die ausschließlich auf russische Unternehmen abzielten. Besonders betroffen waren große und mittelständische Unternehmen verschiedener Branchen, wobei der Fokus auf dem Energie- und Industriesektor lag.
Detaillierte Analyse der Angriffsmethodik
Initialer Zugang durch zielgerichtete Phishing-Kampagnen
Der Angriff beginnt mit sorgfältig gestalteten Phishing-E-Mails, die als Kommunikation von großen staatlichen Unternehmen getarnt sind. Besonders häufig imitieren die Angreifer Öl- und Gaskonzerne, um die Glaubwürdigkeit ihrer Nachrichten zu erhöhen und das Vertrauen der Zielpersonen zu gewinnen.
Die E-Mails enthalten überzeugende Geschichten über angebliches Interesse an Produkten oder Dienstleistungen des Zielunternehmens. Angehängt sind bösartige Archive, die als PDF-Dokumente mit technischen Spezifikationen und Anforderungen getarnt sind.
DLL-Hijacking und Missbrauch legitimer Software
Zur Ausführung des Schadcodes verwenden die Angreifer eine ausgeklügelte DLL-Hijacking-Technik in Kombination mit der legitimen Anwendung BsSndRpt.exe. Diese Software ist Teil der BugSplat-Lösung und dient normalerweise der automatischen Übermittlung von Anwendungsfehlern.
Durch Manipulation der Bibliotheksladevorgang zwingen die Cyberkriminellen die legitime Anwendung, bösartigen Code anstelle der ursprünglichen Systemkomponenten zu laden und auszuführen. Diese Methode erschwert die Erkennung erheblich, da sie auf vertrauenswürdige Software setzt.
Innovative Nutzung öffentlicher Plattformen als Malware-Infrastruktur
Das bemerkenswerteste Merkmal dieser Kampagne ist die kreative Nutzung legitimer Online-Dienste zur Speicherung verschlüsselter Malware-Payloads. Die Angreifer hosten ihre schädlichen Nutzlasten in GitHub-Repositories und verstecken Links dazu in Profilen verschiedener Plattformen:
• GitHub – Primärer Speicherort für Malware-Code
• Microsoft Learn Challenge – Microsofts Bildungsplattform
• Quora – Internationale Frage-Antwort-Plattform
• Russische soziale Netzwerke – Lokale Social-Media-Plattformen
Alle verwendeten Accounts wurden speziell für diese Angriffskampagne erstellt, wodurch die Kompromittierung echter Benutzerkonten vermieden wird. Diese Taktik macht die Attributierung schwieriger und reduziert das Risiko einer vorzeitigen Entdeckung.
Auswirkungen erfolgreicher Kompromittierung
Nach erfolgreichem Abschluss aller Angriffsphasen wird Cobalt Strike Beacon auf dem System des Opfers aktiviert – ein mächtiges Tool für die Fernsteuerung kompromittierter Systeme. Dies verschafft den Angreifern vollständige Kontrolle über die IT-Infrastruktur der Organisation und ermöglicht weiterführende Operationen wie Datenexfiltration oder Lateral Movement.
Schutzmaßnahmen und Empfehlungen
Diese Bedrohungskampagne demonstriert die zunehmende Raffinesse moderner Cyberangriffe und die Notwendigkeit mehrschichtiger Sicherheitsansätze. Organisationen sollten verstärkt in die Schulung ihrer Mitarbeiter zur Erkennung von Phishing-Versuchen investieren und strenge Sicherheitsrichtlinien für den Umgang mit externen Dateien und Links implementieren.
Die Überwachung von Netzwerkverkehr zu Code-Repositories und ungewöhnlichen Aktivitäten in Social-Media-Plattformen kann dabei helfen, solche Angriffe frühzeitig zu erkennen. Regelmäßige Updates der Sicherheitssysteme und die Implementierung von Endpoint Detection and Response (EDR)-Lösungen sind ebenfalls entscheidend für einen effektiven Schutz vor diesen evolvierten Bedrohungen.