UAC-0063 - Cyberspionage aus Zentralasien

Beobachtungen

Das Sicherheitsunternehmen Bitdefender stellt in einem aktuellen Blog-Beitrag über den Cyberakteur UAC-0063 fest, dass sich dessen Aktivitäten erheblich ausgeweitet haben. Ursprünglich auf Zentralasien fokussiert, zielt die Gruppe nun auch auf Organisationen in anderen Regionen – darunter auch Deutschland - ab. Hauptziele sind staatliche Institutionen, Technologieunternehmen sowie andere Einrichtungen von strategischem Interesse.

Die Operationen dieser Gruppierung zeichnen sich durch die Verwendung gezielter Phishing-Kampagnen und manipulierter Dokumente aus, die das Vertrauen der Opfer ausnutzen sollen, um Schadsoftware zu verbreiten.

Hintergrund und Methoden

UAC-0063 verwendet speziell präparierte Word-Dokumente, deren Inhalte aus tatsächlichen und vertrauenswürdigen Quellen stammen, die jedoch nachträglich manipuliert wurden.

Diese Dokumente enthalten schädlichen Code, der erst beim Öffnen ausgeführt wird. Zudem setzen die Angreifer Malware wie HATVIBE und DownExPyer ein, um Nutzerdaten zu sammeln, Systeme zu überwachen und wertvolle Informationen zu exfiltrieren. Die Bandbreite der eingesetzten Tools zeigt eine hohe technische Kompetenz. Darüber hinaus werden Daten von USB-Geräten mithilfe einer speziellen Software (PyPlunderPlug) abgegriffen, und Keylogger zur Aufzeichnung sensibler Eingaben installiert.

Attribution

Während das ukrainische CERT (CERT-UA) UAC-0063 vage der russischen Cybergruppe APT28 zuordnet, bleiben eindeutige Beweise für diese Verbindung aus. Hilfreiche Übereinstimmungen in Angriffstaktiken und Werkzeugen stellen zwar eine Verbindung zu russischen Interessen her, jedoch fehlen technische Nachweise, wie geteilte Infrastruktur oder Codeähnlichkeiten, um diese Attribution abschließend zu untermauern. Die Ziele und die Vorgehensweise der Gruppe deuten jedoch auf mögliche Interessen eines staatlich unterstützten Akteurs hin.

Empfehlungen

Der Bericht zeigt, dass deutsche Einrichtungen bereits Ziel dieser Gruppierung sind. Die Cyberabwehr empfiehlt daher dringend, eigene Systeme auf die von Bitdefender zur Verfügung gestellten Indicators of Compromise zu überprüfen. Um die eigene IT-Sicherheit zu stärken, sollten auch grundlegende IT-Sicherheitsmaßnahmen überprüft werden, wie beispielsweise das Erkennen von Phishing- und Social-Engineering-Angriffen sowie die konsequente Absicherung der eigenen Netzwerke im Hinblick auf mögliche Cyberspionage- und sabotageangriffe.

Diese Website verwendet Cookies. Weitere Informationen erhalten Sie in der Datenschutzerklärung.