Sicherheitsforscher von Positive Technologies haben eine hochentwickelte Cyberspionage-Kampagne aufgedeckt, die von der neu identifizierten Hackergruppe PhaseShifters (auch bekannt als Sticky Werewolf) durchgeführt wird. Die Angreifer setzen fortschrittliche Steganographie-Techniken ein, um schädlichen Code in unverdächtig erscheinenden Bildern und Textdateien zu verstecken.
Zielgerichtete Angriffe auf kritische Infrastruktur
Die Kampagne konzentriert sich hauptsächlich auf Organisationen in Osteuropa, wobei besonders Regierungseinrichtungen, Industrieunternehmen und Forschungszentren im Visier stehen. Die Angreifer nutzen dabei ausgeklügelte Spear-Phishing-Methoden, bei denen sie sich als legitime Behördenvertreter ausgeben und Empfänger zur Überprüfung gefälschter Dokumente auffordern.
Innovative Malware-Verteilungstechniken
Das Arsenal der Gruppe umfasst verschiedene Malware-Varianten, darunter Rhadamanthys, DarkTrack RAT und Meta Stealer. Die Infektionskette beginnt typischerweise mit passwortgeschützten Archiven, die manipulierte Dateien enthalten. Nach dem Öffnen dieser Dokumente werden automatisch Skripte ausgeführt, die getarnte Schadcode-Komponenten aus scheinbar harmlosen Bildern extrahieren.
Verbindungen zu anderen APT-Gruppen
Die forensische Analyse zeigt deutliche Überschneidungen mit den Taktiken anderer bekannter APT-Gruppen. Besonders auffällig sind die Parallelen zur Gruppe TA558 in Bezug auf die verwendeten Steganographie-Methoden. Auch die seit 2020 aktive Gruppe UAC-0050 nutzt vergleichbare Techniken im selben geografischen Gebiet.
Technische Indikatoren und Gemeinsamkeiten
Die Untersuchungen ergaben, dass PhaseShifters, TA558 und Blind Eagle identische Obfuskierungs- und Verschleierungswerkzeuge verwenden, die im Darknet vertrieben werden. Dies zeigt sich in ähnlichen Codestrukturen, PowerShell-Skript-Variablen und Methoden zur Payload-Speicherung.
Die Experten von Positive Technologies vermuten mit hoher Wahrscheinlichkeit, dass PhaseShifters und UAC-0050 möglicherweise dieselbe Gruppierung sind. Diese Hypothese stützt sich auf identische Angriffsmuster und zeitliche Übereinstimmungen ihrer Aktivitäten. Um diese Verbindung eindeutig zu bestätigen, sind jedoch weitere Untersuchungen und kontinuierliches Monitoring erforderlich. Organisationen wird dringend empfohlen, ihre Sicherheitsmaßnahmen zu überprüfen und besonders auf verdächtige Bilddateien und unerwartete E-Mail-Anhänge zu achten.
