Cyberangriffe im Schatten des Krieges: Wenn Lebenshilfe zur Falle wird
Der russische Angriffskrieg auf die Ukraine wird nicht nur an den Frontlinien, sondern auch im Cyberspace ausgetragen. Eine aktuelle Warnung des Computer Emergencies Response Team of Ukraine (CERT-UA) offenbart die kaltschnäuzige Taktik einer Bedrohungsakteursgruppe namens UAC-0247. Zwischen März und April 2026 zielte diese Kampagne gezielt auf kommunale Gesundheitseinrichtungen – darunter Kliniken und Notfallkrankenhäuser – sowie auf Regierungsbehörden ab. Das Ziel: der Diebstahl sensibler Daten aus Chromium-basierten Browsern und der Messenger-App WhatsApp.
Was diesen Angriff besonders perfide macht, ist der psychologische Hebel. Die Angreifer tarnen ihre Phishing-E-Mails als angebliche Vorschläge für humanitäre Hilfe – ein Thema, das in einem kriegsgebeutelten Land naturgemäß auf große Resonanz stößt.
Von der Falle zur Infektion: KI und XSS im Einsatz
Die Technik der Initialinfektion zeigt, wie sich die Bedrohungslandschaft durch neue Technologien verschiebt. Ein Klick auf den Link in der E-Mail führt die Opfer entweder auf eine legitime, aber über eine Cross-Site-Scripting (XSS)-Schwachstelle kompromittierte Website oder auf eine komplett gefälschte Seite, die mithilfe von Künstlicher Intelligenz (KI) generiert wurde. Letzteres ist ein Trend, den wir auf codekiste.dev im Auge behalten: KI senkt die Hürde für überzeugende Phishing-Seiten drastisch.
Unabhängig vom Weg landet der Nutzer letztendlich bei einer Windows Shortcut-Datei (LNK). Diese startet über das native Windows-Dienstprogramm mshta.exe eine Remote HTML Application (HTA). Während die HTA-Datei ein Ablenkungsmanöver in Form eines Dekoy-Dokuments präsentiert, lädt sie im Hintergrund ein Binary nach, das Shellcode in einen legitimen Prozess wie runtimeBroker.exe injiziert.
Besonders bemerkenswert ist die technische Reife der Schadsoftware. CERT-UA berichtet von einem zweistufigen Loader, dessen zweite Stufe ein proprietäres ausführbares Format nutzt, das Sektionen für Code und Daten, Funktionsimporte aus dynamischen Bibliotheken und Relocation vollständig unterstützt. Das finale Payload wird zudem zusätzlich komprimiert und verschlüsselt – ein deutliches Zeichen für das Bestreben, Detection-Systeme auszutricksen.
Das Arsenal: Von Remote-Shell bis Krypto-Miner
Sobald das System infiziert ist, entfaltet UAC-0247 ein breites Spektrum an Werkzeugen. Die Infrastruktur ist modular aufgebaut:
- RAVENSHELL: Ein TCP Reverse Shell-Tool, das via
cmd.exeBefehle vom Management-Server empfängt. - SILENTLOOP: Ein PowerShell-Skript, das nicht nur Befehle ausführt und Konfigurationen aktualisiert, sondern auch clever seine Command-and-Control (C2)-Infrastruktur verbirgt. Es zieht sich die aktuelle IP-Adresse des C2-Servers aus einem Telegram-Kanal. Fallback-Mechanismen sorgen für zusätzliche Ausfallsicherheit.
- AGINGFLY: Ein in C# entwickeltes Tool für die Fernsteuerung. Es kommuniziert via WebSockets mit dem C2-Server, startet einen Keylogger, lädt Dateien herunter und fungiert als Dropper für weitere Payloads.
Der Daten-Sauger: Wenn Open-Source zum Albtraum wird
Die Recherche von CERT-UA in etwa einem Dutzend Vorfällen zeigt das eigentliche Endziel der Kampagne: Spionage, laterale Bewegung im Netzwerk und massiver Datenabgriff. Dabei nutzt UAC-0247 geschickt Open-Source- und Forensik-Tools, die eigentlich für legitime Zwecke gedacht sind:
- ChromElevator: Dieses Tool ist besonders brisant, da es die App-Bound Encryption (ABE) von Chromium-basierten Browsern umgeht, um gespeicherte Passwörter und Cookies zu harvesten.
- ZAPiXDESK: Ein Forensik-Tool, das lokale Datenbanken von WhatsApp Web entschlüsselt. Der Zugriff auf WhatsApp-Daten ist für Geheimdienste von immensem Wert.
- Ligolo-Ng & Chisel: Leichtgewichtige Tunneling-Utilities für TCP/TLS-Verbindungen.
- RustScan: Ein hochperformanter Netzwerk-Scanner für die Aufklärung.
- XMRig: Ein Krypto-Miner, der auf den infizierten Systemen nebenbei Kryptowährung schürft.
Die Mischung aus High-End-Spionage-Tools (ChromElevator, ZAPiXDESK) und einem Krypto-Miner (XMRig) wirft interessante Fragen auf. Handelt es sich um staatlich gesteuerte Spionage, bei der der Miner zur Verschleierung oder als Nebeneinkunft dient? Oder ist es ein hybrider Akteur, der sowohl geopolitische als auch finanzielle Motive verfolgt?
Signal als neuer Angriffsvektor
Ein weiterer alarmierender Aspekt der Kampagne betrifft die ukrainischen Streitkräfte. Laut CERT-UA gibt es Hinweise, dass Vertreter der Verteidigungskräfte über den Messenger Signal mit bösartigen ZIP-Archiven ins Visier genommen wurden. Diese Archive nutzen die DLL Side-Loading-Technik, um AGINGFLY auf dem System zu installieren. Die Verschiebung von E-Mail-Phishing hin zu gezielten Signal-Nachrichten deutet auf eine intensive Aufklärung der Ziele durch die Angreifer hin.
Fazit und Einordnung
Die Kampagne von UAC-0247 ist ein Lehrbuchbeispiel für moderne Cyber-Angriffe in Konfliktzonen. Die Kombination aus sozialer Manipulation (humanitäre Hilfe), dem Missbrauch legitimer Windows-Tools (Living-off-the-Land), KI-gestützter Infrastruktur und dem Einsatz spezialisierter Open-Source-Tools zeigt eine hohe Anpassungsfähigkeit der Angreifer.
Für Verteidiger ergibt sich daraus ein klares Bild: Klassische Endpoint-Protection reicht nicht aus. Organisationen – insbesondere im kritischen Sektor – müssen die Ausführung von LNK-, HTA- und JS-Dateien sowie die Nutzung von mshta.exe, powershell.exe und wscript.exe strikt einschränken. Zudem zeigt der Einsatz von ZAPiXDESK und ChromElevator, dass lokale Browser- und Messenger-Daten längst nicht mehr so sicher sind, wie Nutzer glauben. Die Verschlüsselung auf Anwendungsebene (ABE) wird durch gezielte Tools zunehmend ausgehebelt.
Der Cyberkrieg in der Ukraine zeigt: Die Frontlinien verlaufen mitten durch die Serverräume von Krankenhäusern und Behörden.
Quelle: The Hacker News
