BlueDelta nutzt Roundcube-Mailserver der ukrainischen Regierung aus, um Spionageaktivitäten zu stützen
Die Insikt Group von Recorded Future hat in Zusammenarbeit mit dem Computer Emergency Response Team (CERT-UA) der Ukraine eine Kampagne aufgedeckt, die auf hochrangige Unternehmen in der Ukraine abzielte und mit einer Spearphishing-Kampagne in Verbindung stand, die von der Network Traffic Intelligence von Recorded Future aufgedeckt wurde. Die Kampagne nutzte Nachrichten über den Krieg Russlands gegen die Ukraine, um die Empfänger zum Öffnen von E-Mails zu bewegen, die unter Ausnutzung des CVE-2020-35730 sofort anfällige Roundcube-Server (eine Open-Source-Webmail-Software) kompromittierten, ohne auf den Anhang zu reagieren. Wir haben festgestellt, dass sich die Kampagne mit den historischen Aktivitäten von BlueDelta überschneidet, bei denen die Zero-Day-Sicherheitslücke CVE-2023-23397 von Microsoft Outlook im Jahr 2022 ausgenutzt wurde.
Die von der Insikt Group identifizierte BlueDelta-Aktivität scheint seit November 2021 in Betrieb zu sein. Die Kampagne überschneidet sich mit Aktivitäten, die CERT-UA APT28 (auch bekannt als Forest Blizzard und Fancy Bear) zuschreibt , das von mehreren westlichen Regierungen der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (GRU) zugeschrieben wird. Bei dieser Operation zielte BlueDelta vor allem auf ukrainische Organisationen ab, darunter Regierungsinstitutionen und militärische Einheiten, die in der Luftfahrtinfrastruktur tätig sind.
Die BlueDelta-Kampagne verwendete Spearphishing-Techniken und versendete E-Mails mit Anhängen, die Schwachstellen (CVE-2020-35730, CVE-2020-12641 und CVE-2021-44026) in Roundcube ausnutzten, um Aufklärungs- und Exfiltrationsskripte auszuführen, eingehende E-Mails umzuleiten und Sitzungscookies, Benutzerinformationen und Adressbücher zu sammeln. Der Anhang enthielt JavaScript-Code, der zusätzliche JavaScript-Nutzdaten von der von BlueDelta kontrollierten Infrastruktur ausführte. Die Kampagne zeugte von einem hohen Maß an Vorbereitung und wandelte Nachrichteninhalte rasch in Köder um, um die Empfänger auszunutzen. Die Spearphishing-E-Mails enthielten Nachrichtenthemen mit Bezug zur Ukraine und ihre Betreffzeilen und Inhalte ähnelten legitimen Medienquellen.
Die Infektionsketten von BlueDelta Outlook und Roundcube überschneiden sich
BlueDelta zeigt seit langem Interesse an der Beschaffung von Informationen über Einrichtungen in der Ukraine und ganz Europa, vor allem in der Regierung sowie im Militär und in der Verteidigung. Die jüngste Aktivität deutet höchstwahrscheinlich darauf hin, dass der Fokus weiterhin auf diesen Organisationen liegt, insbesondere auf jenen in der Ukraine. Wir gehen davon aus, dass die Aktivitäten von BlueDelta wahrscheinlich darauf abzielen, militärische Geheimdienstinformationen zu sammeln, um die Invasion Russlands in der Ukraine zu unterstützen, und sind der Ansicht, dass BlueDelta mit an Sicherheit grenzender Wahrscheinlichkeit auch weiterhin vorrangig ukrainische Regierungs- und Privatunternehmen ins Visier nehmen wird, um die umfassenderen militärischen Bemühungen Russlands zu unterstützen.
Die Zusammenarbeit von Recorded Future mit CERT-UA unterstreicht weiter, wie wichtig Partnerschaften zwischen Industrie und Regierungen sind, um eine kollektive Verteidigung gegen strategische Bedrohungen zu ermöglichen – in diesem Fall den Krieg Russlands gegen die Ukraine.
Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Anhang A – Indikatoren für eine Gefährdung
|
Domänen aneria[.]net armpress[.]net ceriossl[.]info global-news-world[.]com global-world-news[.]net globalnewsnew[.]com Infozentrum[.]icu mai1[.]namenews[.]info NachrichtenNeu[.]Info runstatistics[.]net Quellencdn[.]net starvars[.]top Zielgerichtete IP-Adressen 46.183.219[.]207 (Januar 2022 - Juni 2023) 77.243.181[.]238 (März 2022 - Juni 2023) 144.76.69[.]94 (März 2022 - Juni 2023) 46.183.219[.]232 (Mai 2022 - März 2023) 45.138.87[.]250 (Dezember 2021 - März 2022) 144.76.7[.]190 (Januar 2022 - März 2022) 77.243.181[.]10 (Februar 2022 - März 2022) 5.199.162[.]132 (Januar 2022 - März 2022) 185.210.217[.]218 (Januar 2022 - Februar 2022) 144.76.184[.]94 (Dezember 2021 - Dezember 2021) 162.55.241[.]4 (November 2021 - Dezember 2021) 185.195.236[.]230 (November 2021 - Dezember 2021) E-Mail-Adresse des Absenders ukraine_news@meta[.]ua |
Anhang B – Mitre ATT&CK-Techniken
| Taktik: Technik | ATT&CK-Code |
| Erster Zugriff: Spearphishing-Anhang | T1566.001 |
| Ausführung: Ausnutzung zur Client-Ausführung | T1203 |
| Ausführung: Befehl und Skriptinterpreter: JavaScript | T1059.007 |
| Umgehung der Verteidigung: Verschleierung von Dateien oder Informationen | T1027 |
| Umgehung der Verteidigung: Dateien oder Informationen entschlüsseln/dekodieren | T1140 |
| Zugriff auf Anmeldeinformationen: Dumping der Betriebssystem-Anmeldeinformationen: /etc/passwd und /etc/shadow | T1003.008 |
| Erkennung: Erkennung von Systeminformationen | T1082 |
| Erkennung: Erkennung der Systemnetzwerkkonfiguration | T1016 |
| Erkennung: Erkennung von Systembesitzern/-benutzern | T1033 |
| Erkennung: Erkennung von Systemnetzwerkverbindungen | T1049 |
| Sammlung: E-Mail-Sammlung: E-Mail-Weiterleitungsregel | T1114.003 |
| Befehl und Steuerung: Anwendungsschichtprotokoll: Webprotokolle | T1071.001 |
| Befehl und Kontrolle: Datenkodierung: Standardkodierung | T1132.001 |
| Exfiltration: Exfiltration über alternatives Protokoll | T1048 |
| Exfiltration: Automatisierte Exfiltration | T1020 |
Verwandt