Die polnische Regierung berichtet, dass eine staatlich unterstützte Hackergruppe, die mit dem russischen Militärgeheimdienst (GRU) in Verbindung steht, in dieser Woche gezielt polnische Regierungsinstitutionen angegriffen hat.

Beweise des Computer Security Incident Response Teams (CSIRT MON), unter der Leitung des polnischen Verteidigungsministeriums, und von CERT Polska zeigen, dass die russischen APT28-Hacker eine Phishing-Kampagne gestartet haben, die verschiedene Regierungseinrichtungen ins Visier nahm.

Die Phishing-E-Mails versuchten die Empfänger dazu zu verleiten, auf einen eingebetteten Link zu klicken, der angeblich weitere Informationen über eine „mysteriöse ukrainische Frau“ liefert, die „getragene Unterwäsche“ an „hochrangige Behörden in Polen und der Ukraine“ verkauft.

Nach dem Klick leitete der Link durch mehrere Websites und führte schließlich zu einer Seite, die ein ZIP-Archiv herunterlädt. Das Archiv enthielt eine schadhafte, als JPG-Bild getarnte ausführbare Datei sowie zwei versteckte Dateien: eine DLL und ein .BAT-Skript.

Wird die getarnte Datei geöffnet, lädt sie die DLL per DLL Side Loading und führt das versteckte Skript aus. Dieses zeigt zur Ablenkung ein Foto einer Frau im Badeanzug im Microsoft Edge-Browser an, während im Hintergrund ein CMD-File heruntergeladen und dessen Dateierweiterung in JPG geändert wird.

Laut CERT Polska sammelt das Skript nur Informationen über den Computer, wie IP-Adresse und eine Liste der Dateien in ausgewählten Ordnern, und sendet diese an einen Command-and-Control-Server (C2). Wahrscheinlich erhalten die Computer der von den Angreifern ausgewählten Opfer eine spezifische Kombination von Endpunkt-Skripten.

Die Taktiken und Infrastruktur dieser Angriffe ähneln einer früheren Kampagne, in der APT28 mit Ködern aus dem Israel-Hamas-Konflikt Geräte von Regierungsbeamten aus 13 Nationen mit der Headlace-Malware kompromittiert hat.

Die russische Hackergruppe APT28, auch bekannt als Fancy Bear, hat seit ihrer Entstehung in den 2000er Jahren zahlreiche hochkarätige Cyberangriffe durchgeführt und wurde 2018 mit der GRU-Militäreinheit 26165 in Verbindung gebracht. Die Gruppe war an den Hackerangriffen auf das Democratic National Committee (DNC) und das Democratic Congressional Campaign Committee (DCCC) vor den US-Präsidentschaftswahlen 2016 beteiligt und für den Angriff auf den Deutschen Bundestag 2015 verantwortlich.

Vor einer Woche verurteilten die NATO, die EU und internationale Partner die lang andauernde Cyberspionage-Kampagne von APT28 gegen europäische Länder, darunter Deutschland und Tschechien.

Deutschland berichtete, dass die russische Gruppe viele E-Mail-Konten des Vorstands der Sozialdemokratischen Partei kompromittierte. Das tschechische Außenministerium enthüllte ebenfalls, dass APT28 im Jahr 2023 einige tschechische Institutionen über eine Outlook-Kampagne ins Visier nahm.

Die Angreifer nutzten eine CVE-2023-23397 Microsoft Outlook-Schwachstelle, um seit April 2022 NATO-Mitglieder in Europa, ukrainische Behörden und schnelle NATO-Eingreifkorps zu attackieren.

Das US-Außenministerium forderte Russland auf, diese böswilligen Aktivitäten zu stoppen und seinen internationalen Verpflichtungen nachzukommen. „Gemeinsam mit der EU und unseren NATO-Verbündeten werden wir weiterhin Maßnahmen ergreifen, um Russlands Cyberaktivitäten zu unterbinden, unsere Bürger und Partner zu schützen und böswillige Akteure zur Verantwortung zu ziehen.“