ITG05-Kampagne ködert Opfer mit gezieltem Spear-Phishing

IBM X-Force warnt vor einer Kampagne der Hacker-Gruppierung ITG05. ITG05 will mit gezielten Spear-Phishing-Angriffen Opfer dazu verleiten, maliziöse Mail-Anhänge zu öffnen und so Schad-Software zu installieren. Die Hacker fokussieren angeblich spezifische Ziele in mindestens 13 Staaten, worunter sich auch Deutschland befindet. 12 dieser Staaten sind Mitglieder des United Nations Human Rights Council (UNHRC).

ITG05 will die Malware Headlace auf den Systemen der Opfer installieren, mit der die Gruppierung eine Backdoor einrichten kann. Hierüber können die Hacker Schad-Software nachladen und dadurch unter anderem Zugangsdaten und sensible Informationen stehlen. Damit will ITG05 im Zuge der Angriffskampagne wahrscheinlich diplomatische und akademische Zentren ausspähen. IBM X-Force vermutet, dass die Gruppierung so Entscheidungsprozesse sowie entstehende politische Entscheidungen verstehen und ggf. beeinflussen will.

ITG05 verwendet verschiedene Köder, die unterschiedliche Angriffsvektoren ausnutzen wie DLL-Hijacking oder die Schwachstelle CVE-2023-38831 in WinRAR. Diese Köder umfassen maliziöse Mail-Anhänge bzw. angehängte Dokumente, deren Inhalte überzeugend und realistisch wirken sowie Personen in Forschung und Politik adressieren.

Die Basis hierfür bilden öffentliche Dokumente wie:

• Eine Einladung zu einer Fachdiskussion des Razumkov Centre (Kiew)
• Verschiedene Dokumente, die den Israel-Palästina-Konflikt betreffen:
  • Gremiendokumente der UN oder des Europäischen Parlaments
  • Ein Dokument der Bank of Israel zu fiskalen Themen in der akuten Kriegslage
• Informative Dokumente, die an Entscheidungsträger gerichtet sind mit Inhalten wie dem russischen Angriffskrieg auf die Ukraine.

Die von IBM X-Force beschriebene ITG05-Kampagne ist besorgniserregend und kritisch zu sehen. Die Hacker-Gruppierung wählt und implementiert ihre Angriffsvektoren äußerst flexibel, weshalb stetig mit der Ausnutzung neuer Schwachstellen zu rechnen ist.

Zudem ist ITG05 taktisch wandelfähig und passt die Köder zielgenau an. Bei früheren Kampagnen köderte die Gruppierung stereotyp mit bspw. nicht jugendfreien Themen, wohingegen sie mittlerweile aktuelle sowie brisante Themen aus der Politik oder der Wirtschaft nutzt.

Die Aktualität und die Brisanz dieser Themenkomplexe, unterfüttert mit echten Informationsquellen, verleihen den von ITG05 verschickten Dokumenten vermeintliche Authentizität. Deshalb wirken diese Dokumente bzw. Anhänge auf die adressierten Opfer mitunter ansprechend und unverdächtig.

ITG05 will sich mit diesen gezielten Spähkampagnen vermutlich strategische Vorteile verschaffen. Diese Vermutung wird genährt durch die selektive Zielauswahl in den spezifischen Ländern und den plausiblen UNHRC-Hintergrund. Dies schlussfolgert auch IBM X-Force. 

Solche fortgeschrittenen Social-Engineering-Angriffe sind eine rasant steigende Bedrohung. Oft stecken russische Cyber-Gruppierungen hinter diesen Attacken, jedoch verwenden auch andere Hacker-Gruppen vermehrt diese Angriffsart. Diese Angriffskampagnen häufen sich. Daher erhöht sich die Wahrscheinlichkeit, dass auch Institutionen und Unternehmen in Deutschland und Baden-Württemberg verstärkt zu Zielen dieser Infiltrationsmethode werden.

IBM X-Force stellt eine Liste mit Indicators of Compromise (IoC) zur Verfügung, mit denen Sie Ihre Systeme auf Kompromittierungsversuche durch ITG05 prüfen können.

Darüber hinaus sollten Sie die üblichen Maßnahmen zur Cybersicherheit und insbesondere gegen Spear-Phishing befolgen:

• Verwenden Sie sichere Passwörter zum Schutz Ihrer Konten.
• Verwenden Sie Multi-Faktor-Authentifizierung (MFA).
• Aktivieren Sie keine Makros für Dokumente in E-Mails, die von unbekannten Personen stammen, unabhängig davon, was in der E-Mail behauptet wird.
• Wenn Sie Zweifel an der Echtheit einer Nachricht haben, besuchen Sie die offizielle Website des Absenders. Vergleichen Sie die dort angegebenen Kontaktinformationen mit denen in der Nachricht.
• Halten Sie Ihre Software auf dem aktuellen Stand.
• Aktivieren Sie ein Virenschutzprogramm.
• Richten Sie technisch-automatisierte Schutzmaßnahmen in Ihren Systemen ein.
• Sensibilisieren Sie Ihre Mitarbeiter hinsichtlich der drohenden Gefahren aus dem Cyberraum.
• Ergreifen Sie präventive Maßnahmen wie Schulungen oder Workshops.

Die mutmaßlich russische Cyber-Gruppierung ITG05 scheint sich stark mit der bekannten russischen Gruppierung Fancy Bear, auch APT28, zu überschneiden. APT28 wird für viele Cyberangriffe in den vergangenen Jahren verantwortlich gemacht. Die Gruppierung griff unter anderem diverse Ziele in mehreren europäischen NATO-Staaten an, vor allem in den Sektoren Verteidigung, Äußeres, Innenverwaltung und KRITIS. Dabei nutzten die Cyberkriminellen über 20 Monate eine Schwachstelle in Microsoft Outlook, um vermutlich strategisch und gezielt militärbezogene Informationen zu sammeln.