ZURÜCK ZU NACHRICHTEN
Eilmeldung

Russische Nutzer von mehrstufiger Phishing-Attacke mit Amnesia-RAT und Ransomware betroffen

2 Min. LesezeitQuelle: The Hacker News

Sicherheitsforscher von Fortinet entdecken eine komplexe Phishing-Kampagne in Russland, die Amnesia-RAT und Ransomware verbreitet. Erfahren Sie, wie der Angriff funktioniert und wie Sie sich schützen.

Russische Organisationen im Visier einer ausgeklügelten Phishing-Kampagne

Sicherheitsforscher von Fortinet FortiGuard Labs haben eine mehrstufige Phishing-Kampagne aufgedeckt, die Nutzer in Russland ins Visier nimmt und sowohl Ransomware als auch den Amnesia Remote Access Trojaner (RAT) verbreitet. Der Angriff nutzt Social-Engineering-Taktiken über scheinbar routinemäßige, geschäftsbezogene Dokumente, um die Infektion einzuleiten.

Technische Analyse der Angriffskette

Laut der Fortinet-Forscherin Cara Lin beginnt die Kampagne mit bösartigen Dokumenten, die legitim erscheinen und Opfer dazu verleiten, die Payload auszuführen. Obwohl die vollständigen technischen Details noch untersucht werden, folgt der Angriff einem mehrstufigen Infektionsprozess, der wahrscheinlich folgende Schritte umfasst:

  • Erste Kompromittierung über Phishing-E-Mails mit manipulierten Dokumenten
  • Ausführung schädlicher Makros oder Exploits, um sekundäre Payloads herunterzuladen
  • Einsatz des Amnesia-RAT für Fernzugriff und Persistenz
  • Ransomware-Verschlüsselung als finale Payload

Der Einsatz des Amnesia-RAT deutet darauf hin, dass die Angreifer langfristigen Zugriff auf kompromittierte Systeme anstreben, um Datenexfiltration, laterale Bewegung oder die Verbreitung weiterer Schadsoftware zu ermöglichen.

Auswirkungen und Bedrohungsanalyse

Diese Kampagne stellt ein erhebliches Risiko für russische Organisationen dar, darunter:

  • Datenlecks durch die Fähigkeiten des Remote-Access-Trojaners
  • Betriebliche Störungen durch Ransomware-Verschlüsselung
  • Finanzielle Verluste durch Erpressungsforderungen oder Wiederherstellungskosten
  • Spionagepotenzial, falls Angreifer sensible Informationen abgreifen

Die Fokussierung auf geschäftsbezogene Dokumente deutet auf eine Ausrichtung auf Unternehmen oder Regierungsbehörden hin, bei denen der routinemäßige Austausch von Dateien eine plausible Tarnung für schädliche Anhänge bietet.

Empfehlungen zur Abwehr

Sicherheitsteams sollten folgende Maßnahmen ergreifen:

  • Makrosicherheitsrichtlinien durchsetzen, um die Ausführung aus nicht vertrauenswürdigen Dokumenten zu blockieren
  • Erweiterte E-Mail-Filterung einsetzen, um Phishing-Angriffe zu erkennen
  • Ungewöhnliche Prozessausführungen überwachen (z. B. von Dokumenten gestartete Binärdateien)
  • Netzwerke segmentieren, um laterale Bewegungen einzuschränken
  • Offline-Backups pflegen, um die Auswirkungen von Ransomware zu minimieren
  • Mitarbeiter schulen, um Social-Engineering-Taktiken zu erkennen

Fortinet hat die Kampagne bisher keinem bestimmten Bedrohungsakteur zugeordnet und sie auch nicht mit bekannten Malware-Familien außer Amnesia-RAT in Verbindung gebracht. Weitere Analysen zur Identifizierung zusätzlicher Indicators of Compromise (IOCs) sind im Gange.

Quelle: The Hacker News

Teilen

TwitterLinkedIn