Phishing-Kampagne zielt auf EU-Beamte ab, die mit ukrainischen Flüchtlingen arbeiten

Während der Krieg in der Ukraine weitergeht, entdeckten Sicherheitsforscher etwas, das wie ein neuer Versuch einer verdeckten Cyberkriegsführung aussieht. Diesmal zielten die Bedrohungsakteure auf Mitarbeiter und Beamte der Europäischen Union, die mit ukrainischen Flüchtlingen arbeiten, die aus ihrem vom Krieg heimgesuchten Land fliehen.

Phishing-Angriff verwendet kompromittierte E-Mails

Forscher der Sicherheitsfirma Proofpoint veröffentlichten einen Bericht über den Angriff. Laut Proofpoint zielt ein "wahrscheinlich" staatlich unterstützter Akteur auf europäische Regierungsbeamte, die daran arbeiten, die aus der Ukraine kommende Flüchtlingswelle zu bewältigen. Der Phishing-Angriff wurde unter Verwendung einer E-Mail-Adresse des ukrainischen Militärs durchgeführt, die zuvor vom Angreifer kompromittiert worden war.

Die in der Phishing-E-Mail enthaltene Payload besteht aus einer angehängten Excel-Datei mit dem Namen „list of persons.xlsx“, in die schädliche Makros eingebettet sind. Wenn es ausgeführt wird, versucht das Makro, eine bösartige sekundäre Nutzlast abzugreifen, die in Lua geschrieben ist und „SunSeed“ heißt. Die E-Mail, von der die Phishing-Nachrichten stammen, gehört einem Angehörigen des ukrainischen Militärs und stammt von einer ukr.net-E-Mail-Domain.

In Bezug auf den Social-Engineering-Aspekt der Phishing-E-Mails kam die Nachricht mit der Betreffzeile „IN ÜBEREINSTIMMUNG MIT DER ENTSCHEIDUNG DER EMERGENCY SITZUNG DES SICHERHEITSRATS DER UKRAINE VOM 24.02.2022“. Dies hing mit der Dringlichkeitssitzung zusammen, die der NATO-Sicherheitsrat am Tag vor dem Datum im Titel der E-Mail abgehalten hatte. Der Dateiname des Anhangs hingegen sollte die "Kill-Liste" ukrainischer Ziele aufrufen, die Ende Februar in die Schlagzeilen kam.

Wie die SunSeed-Malware funktioniert

Die Payload installiert eine Reihe von Lua-Abhängigkeiten, führt dann das bösartige SunSeed Lua-Skript aus und richtet schließlich die Persistenz durch die Verwendung einer Verknüpfungs-.lnk-Datei ein. Es ist auch eine modifizierte Version eines legitimen Lua-Code-Interpreters installiert. Der fragliche Interpreter heißt sppsvc.exe und diese spezielle Version wurde so modifiziert, dass sie nichts an die Windows-Konsole ausgibt, um die Aktivität der Malware zu verschleiern.

Die für die Persistenz verwendete Verknüpfungsdatei heißt Software Protection Service.lnk und wird unter ~\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ erstellt.

Trotz der Überzeugung von Proofpoint, dass es sich um ein staatlich unterstütztes Unternehmen handelt, gibt es keine eindeutigen Beweise, die auf eine bestimmte Gruppe in einem bestimmten Land hinweisen. Dieser Bericht kommt zu einer Zeit, in der Berichten zufolge über eine Million Ukrainer aus dem Land geflohen sind und jenseits der ukrainischen Grenzen Zuflucht suchen. Der ukrainische Flüchtlingsstrom hat sogar Japan, das traditionell über sehr niedrige jährliche Flüchtlingsquoten verfügt, dazu veranlasst, seine Grenzen für Kriegsflüchtlinge zu öffnen.