Inhalt
Ein neuer Cyber-Bedrohungscluster ist aufgetaucht, der die slowakische Cybersicherheitsfirma ESET in Phishing-Versuchen an ukrainische Organisationen imitiert. Entdeckt im Mai 2025, wird diese Kampagne von ESET unter dem Codenamen InedibleOchotense verfolgt und gilt als mit russischen Interessen verbunden. Angreifer versendeten Spear-Phishing-E-Mails und Signal-Nachrichten mit Links zu manipulierten ESET-Installern an verschiedene Ziele in der Ukraine. Diese Nachrichten, obwohl überwiegend auf Ukrainisch verfasst, enthielten merkwürdigerweise ein russisches Wort in der ersten Zeile, was auf einen Übersetzungsfehler oder Nachlässigkeit bei der Nachrichtenerstellung hindeutet.\n\nDie Phishing-E-Mails behaupten fälschlicherweise, dass das Überwachungsteam von ESET einen verdächtigen Prozess im Zusammenhang mit der E-Mail des Empfängers entdeckt habe und warnen, dass ihr System kompromittiert sein könnte. Diese Taktik nutzt ESETs starken Ruf und weitverbreitete Nutzung in der Ukraine, um Opfer dazu zu bringen, schädliche Software von Domains herunterzuladen, die legitime ESET-Dienste nachahmen, wie esetsmart[.]com und esetremover[.]com. Der kompromittierte Installer enthält nicht nur das authentische ESET AV Remover-Tool, sondern installiert auch eine Backdoor namens Kalambur (auch bekannt als SUMBUR). Diese Backdoor kommuniziert über das Tor-Netzwerk zur Anonymität und kann OpenSSH bereitstellen sowie den Remote-Desktop-Zugriff auf Port 3389 aktivieren, was eine Fernsteuerung infizierter Maschinen ermöglicht.\n\nWeitere Untersuchungen verbinden diese Aktivität mit zuvor dokumentierten Kampagnen, wie denen mit der BACKORDER-Backdoor und Clustern, die von CERT-UA unter UAC-0212 und UAC-0125 überwacht werden, welche Untergruppen des berüchtigten Sandworm (APT44) Hacking-Kollektivs sind. Sandworm führt weiterhin zerstörerische Cyberangriffe in der Ukraine durch, wie den Einsatz von Wiper-Malware ZEROLOT und Sting gegen eine ungenannte Universität im April 2025. Diese Angriffe erstrecken sich auf verschiedene Sektoren, darunter Regierung, Energie, Logistik und Getreideindustrie. ESET stellt außerdem fest, dass UAC-0099 den Erstzugang für Sandworm erleichterte, was die geschichtete und kollaborative Natur dieser Bedrohungsakteure unterstreicht.\n\nNeben den Aktivitäten von Sandworm führte eine weitere mit Russland verbundene Gruppe namens RomCom (auch unter mehreren Aliasen bekannt) Mitte Juli 2025 Spear-Phishing-Kampagnen durch. RomCom nutzte eine Zero-Day-Schwachstelle in WinRAR (CVE-2025-8088) mit hoher Schwere aus und zielte auf Finanz-, Fertigungs-, Verteidigungs- und Logistikunternehmen in Europa und Kanada ab. Erfolgreiche Exploits installierten mehrere Backdoors und Remote-Access-Tools, die mit RomCom in Verbindung stehen, wie SnipBot, RustyClaw und einen Mythic-Agenten. Analysten weisen darauf hin, dass RomCom ursprünglich als Cybercrime-Commodity-Malware fungierte, sich aber zu einem Werkzeug für russisch unterstützte Operationen entwickelt hat, die sich auf Datendiebstahl und das Sammeln von Zugangsdaten im Zusammenhang mit geopolitischen Ereignissen rund um den Ukraine-Konflikt konzentrieren.\n\nDie zunehmende Raffinesse und Beharrlichkeit dieser Kampagnen unterstreicht eine anhaltende Dimension des Cyberkriegs im Ukraine-Konflikt. Angreifer nutzen Markenimitation, Zero-Day-Schwachstellen und mehrstufige Malware-Deployments, um kritische Systeme zu infiltrieren. Verteidigungsstrategien bleiben herausfordernd aufgrund der Nutzung legitimer Tools neben bösartigen Komponenten und der Ausnutzung vertrauenswürdiger Softwaremarken wie ESET. Diese sich entwickelnde Bedrohungslandschaft erfordert erhöhte Wachsamkeit, verbesserte Erkennungsfähigkeiten und koordinierte Reaktionen innerhalb der Cybersicherheitsgemeinschaft und betroffener Sektoren, um laufende Risiken zu mindern.
