BlueDelta nutzt Roundcube-Mailserver der ukrainischen Regierung aus, um Spionageaktivitäten zu stützen
Recorded Future's Insikt Group, in partnership with Ukraine's Computer Emergency Response Team (CERT-UA), has uncovered a campaign targeting high-profile entities in Ukraine that was cross-correlated with a spearphishing campaign uncovered by Recorded Future’s Network Traffic Intelligence. The campaign leveraged news about Russia’s war against Ukraine to encourage recipients to open emails, which immediately compromised vulnerable Roundcube servers (an open-source webmail software), using CVE-2020-35730, without engaging with the attachment. We found that the campaign overlaps with historic BlueDelta activity exploiting the Microsoft Outlook zero-day vulnerability CVE-2023-23397 in 2022.
Die von der Insikt Group identifizierte BlueDelta-Aktivität scheint seit November 2021 in Betrieb zu sein. Die Kampagne überschneidet sich mit Aktivitäten, die CERT-UA APT28 (auch bekannt als Forest Blizzard und Fancy Bear) zuschreibt , das von mehreren westlichen Regierungen der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (GRU) zugeschrieben wird. Bei dieser Operation zielte BlueDelta vor allem auf ukrainische Organisationen ab, darunter Regierungsinstitutionen und militärische Einheiten, die in der Luftfahrtinfrastruktur tätig sind.
The BlueDelta campaign used spearphishing techniques, sending emails with attachments exploiting vulnerabilities (CVE-2020-35730, CVE-2020-12641, and CVE-2021-44026) in Roundcube to run reconnaissance and exfiltration scripts, redirecting incoming emails and gathering session cookies, user information, and address books. The attachment contained JavaScript code that executed additional JavaScript payloads from BlueDelta-controlled infrastructure. The campaign displayed a high level of preparedness, quickly weaponizing news content into lures to exploit recipients. The spearphishing emails contained news themes related to Ukraine, with subject lines and content mirroring legitimate media sources.
Die Infektionsketten von BlueDelta Outlook und Roundcube überschneiden sich
BlueDelta zeigt seit langem Interesse an der Beschaffung von Informationen über Einrichtungen in der Ukraine und ganz Europa, vor allem in der Regierung sowie im Militär und in der Verteidigung. Die jüngste Aktivität deutet höchstwahrscheinlich darauf hin, dass der Fokus weiterhin auf diesen Organisationen liegt, insbesondere auf jenen in der Ukraine. Wir gehen davon aus, dass die Aktivitäten von BlueDelta wahrscheinlich darauf abzielen, militärische Geheimdienstinformationen zu sammeln, um die Invasion Russlands in der Ukraine zu unterstützen, und sind der Ansicht, dass BlueDelta mit an Sicherheit grenzender Wahrscheinlichkeit auch weiterhin vorrangig ukrainische Regierungs- und Privatunternehmen ins Visier nehmen wird, um die umfassenderen militärischen Bemühungen Russlands zu unterstützen.
Die Zusammenarbeit von Recorded Future mit CERT-UA unterstreicht weiter, wie wichtig Partnerschaften zwischen Industrie und Regierungen sind, um eine kollektive Verteidigung gegen strategische Bedrohungen zu ermöglichen – in diesem Fall den Krieg Russlands gegen die Ukraine.
Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Anhang A – Indikatoren für eine Gefährdung
|
Domänen aneria[.]net armpress[.]net ceriossl[.]info global-news-world[.]com global-world-news[.]net globalnewsnew[.]com infocentre[.]icu mai1[.]namenews[.]info newsnew[.]info runstatistics[.]net sourcescdn[.]net starvars[.]top Target-facing IP Addresses 46.183.219[.]207 (January 2022 - June 2023) 77.243.181[.]238 (March 2022 - June 2023) 144.76.69[.]94 (March 2022 - June 2023) 46.183.219[.]232 (May 2022 - March 2023) 45.138.87[.]250 (December 2021 - March 2022) 144.76.7[.]190 (January 2022 - March 2022) 77.243.181[.]10 (February 2022 - March 2022) 5.199.162[.]132 (January 2022 - March 2022) 185.210.217[.]218 (January 2022 - February 2022) 144.76.184[.]94 (December 2021 - December 2021) 162.55.241[.]4 (November 2021 - December 2021) 185.195.236[.]230 (November 2021 - December 2021) Sender Email Address ukraine_news@meta[.]ua |
Anhang B – Mitre ATT&CK-Techniken
| Taktik: Technik | ATT&CK-Code |
| Initial Access: Spearphishing Attachment | T1566.001 |
| Execution: Exploitation for Client Execution | T1203 |
| Execution: Command and Scripting Interpreter: JavaScript | T1059.007 |
| Defense Evasion: Verschleierte Dateien oder Informationen | T1027 |
| Defense Evasion: Deobfuscate/Decode Files or Information | T1140 |
| Credential Access: OS Credential Dumping: /etc/passwd and /etc/shadow | T1003.008 |
| Discovery: Ermittlung der Systeminformationen | T1082 |
| Discovery: System Network Configuration Discovery | T1016 |
| Discovery: System Owner/User Discovery | T1033 |
| Discovery: System Network Connections Discovery | T1049 |
| Collection: Email Collection: Email Forwarding Rule | T1114.003 |
| Command and Control: Application Layer Protocol: Web Protocols | T1071.001 |
| Command and Control: Data Encoding: Standard Encoding | T1132.001 |
| Exfiltration: Exfiltration Over Alternative Protocol | T1048 |
| Exfiltration: Automated Exfiltration | T1020 |
Verwandte Nachrichten & Forschung