Beobachtungen
Das IT-Sicherheitsunternehmen Arctic Wolf stellte fest, dass eine bislang nicht kategorisierte Cybergruppierung mit der Bezeichnung UNC6384 Mitarbeiter europäischer Regierungseinrichtungen mittels Spear-Phishing-E-Mails angreift. Die Angreifer nutzen dabei eine Schwachstelle in Windows aus, die seit 2017 besteht und durch Microsoft bislang nicht behoben wurde.
Methoden
Laut Arctic Wolf versenden die Angreifer Spear-Phishing-E-Mails mit diplomatischen Bezügen und Inhalten, um ihre Ziele zur Ausführung bösartiger Windows-LNK-Dateien zu bringen. Die Schwachstelle resultiert aus einem Fehler im Parsing der Windows-Benutzeroberfläche. Sie ermöglicht die Einschleusung und Ausführung versteckter Kommandozeilenbefehle in .LNK-Dateien.
Anschließend führen die Angreifer eine Reihe bösartiger Aktionen aus. Dabei wird ein PDF-Dokument mit der Tagesordnung für eine echte Sitzung der Europäischen Kommission, die am 26. September in Brüssel stattfinden soll, angezeigt. Bei diesem Dokument handelt es sich jedoch in Wahrheit nur um eine Ablenkung. Im Hintergrund wird ein Fernzugriffs-Trojaner (PlugX) installiert. Bei PlugX handelt es sich um beliebtes Werkzeug für die Installation und das Öffnen von Backdoors auf Windows-Systemen.
Attribution
Laut Arctic Wolf bestehen zwischen den Taktiken, Techniken und Prozeduren (TTPs) von UNC6384 und den TTPs von Mustang Panda eine hohe Übereinstimmungsrate. Aufgrund dieser Umstände vermutet das IT-Sicherheitsunternehmen, dass es sich bei UNC6384 um den chinesischen Cyberakteur Mustang Panda handeln könnte.
Empfehlungen
Arctic Wolf stellt einen ausführlichen Bericht sowie Indicators of Compromise (IOCs) zur Verfügung. Wir empfehlen daher allen Stellen, die möglicherweise ins Visier des Angreifers geraten sind, die eigenen Systeme anhand der IOCs zu überprüfen.