Die russische Angreifergruppierung APT28 zielt aktuell auf verschiedene Regierungsstellen der Ukraine ab, indem sie bösartige E-Mails versendet, wie das Computer Emergency Response Team of Ukraine (CERT-UA) berichtet. Die E-Mails enthalten angebliche Anleitungen, Windows zur Abwehr von Cyberattacken zu aktualisieren.
Die Angreifer geben sich dabei als Systemadministratoren der angegriffenen Stellen aus und verwenden echte Mitarbeiternamen sowie @outlook.com-E-Mail-Adressen.
Anstelle einer Anleitung zum Update von Windows, wird der Empfänger zur Ausführung eines PowerShell-Befehls angeleitet. Dieser Befehl lädt ein PowerShell-Skript auf den Computer herunter und simuliert einen Windows-Aktualisierungsprozess, während im Hintergrund ein weiteres PowerShell-Skript heruntergeladen wird.
Das zweite PowerShell-Skript ist ein Tool zum Sammeln und anschließenden Versenden von Benutzerdaten über eine http-Anfrage an eine Mocky-Service-API der Angreifer.
Obwohl derzeit keine konkreten Erkenntnisse über Angriffe auf Stellen in Deutschland vorliegen, besteht jederzeit die Möglichkeit, dass dieser Modus Operandi auch gegen deutsche Ziele angewendet wird.
Die Cyberabwehr des Landesamts für Verfassungsschutz empfiehlt daher Systemadministratoren, den Start der PowerShell auf kritischen Systemen einzuschränken und den Netzwerkverkehr auf Verbindungen zur Mocky-Dienst-API zu überwachen.