UAC-0050 erweitert Cyber-Spionage auf europäischen Finanzsektor mit RMS-Malware

Russland-nahe Gruppe UAC-0050 attackiert europäischen Finanzsektor

Ein mit Russland in Verbindung stehender Threat Actor, bekannt als UAC-0050, wurde dabei identifiziert, wie er ein europäisches Finanzinstitut in einem Social-Engineering-Angriff ins Visier nahm. Ziel der Kampagne war vermutlich Cyber-Spionage oder finanzieller Diebstahl. Die Attacke markiert eine mögliche Ausweitung der Aktivitäten der Gruppe über die Ukraine hinaus, mit Fokus auf Einrichtungen, die das kriegsgebeutelte Land unterstützen.

Wichtige Angriffsdaten

• Threat Actor: UAC-0050 (Russland-nahe)
• Ziel: Unbenanntes europäisches Finanzinstitut
• Taktiken: Gefälschte Domain (Spoofed Domain) und RMS-Malware (Remote Manipulator System)
• Zielsetzung: Wahrscheinlich Cyber-Spionage oder finanzielle Datenexfiltration
• Geopolitischer Kontext: Abkehr von rein ukrainischen Zielen hin zu breiteren europäischen Angriffszielen

Technische Analyse

UAC-0050, bisher für Angriffe auf ukrainische Einrichtungen bekannt, hat RMS-Malware eingesetzt – ein legitimes Remote-Administration-Tool, das für böswillige Zwecke umfunktioniert wurde. Der Angriff nutzte eine gefälschte Domain, um Opfer zur Ausführung der Malware zu verleiten, was den Angreifern dauerhaften Zugriff auf kompromittierte Systeme ermöglichte.

Obwohl der genaue Infektionsvektor nicht offengelegt wurde, kamen wahrscheinlich Social-Engineering-Taktiken (z. B. Phishing-E-Mails oder betrügerische Websites) zum Einsatz, um die Schadsoftware zu verbreiten. RMS-Malware bietet Angreifern folgende Möglichkeiten:

• Fernsteuerung infizierter Systeme
• Datenexfiltration
• Persistenzmechanismen, um der Erkennung zu entgehen

Auswirkungen und strategische Implikationen

Die gezielte Attacke auf ein europäisches Finanzinstitut deutet darauf hin, dass UAC-0050 seinen operativen Radius erweitert – möglicherweise als Reaktion auf geopolitische Entwicklungen. Finanzinstitute sind für folgende Bedrohungsszenarien besonders attraktiv:

• Informationsbeschaffung (z. B. Überwachung von Transaktionen)
• Direkter finanzieller Diebstahl (z. B. betrügerische Überweisungen)
• Störung der Lieferkette (z. B. Angriff auf Zahlungssysteme)

Empfehlungen für die Verteidigung

Sicherheitsteams in Finanzinstituten sollten folgende Maßnahmen ergreifen:

1. Überwachung gefälschter Domains, die legitimen Diensten ähneln.
2. Einschränkung von RMS und ähnlichen Remote-Administration-Tools, sofern nicht explizit erforderlich.
3. Verbesserung von Schulungen zur Phishing-Aufklärung, um Social-Engineering-Risiken zu minimieren.
4. Einsatz von EDR/XDR-Lösungen, um verdächtige Fernzugriffsaktivitäten zu erkennen.
5. Durchführung von Threat Hunting nach Indicators of Compromise (IoCs), die mit UAC-0050 in Verbindung stehen.

Diese Kampagne unterstreicht die sich wandelnde Bedrohungslandschaft, in der finanziell motivierte und staatlich unterstützte Akteure zunehmend kritische Infrastrukturen ins Visier nehmen.