CERT Ukraine: Vorsicht vor gefälschten Windows-Updates, die über E-Mails der Microsoft Outlook-Domäne verbreitet werden

Das Computer Emergency Response Team (CERT) der Ukraine hat vor einer böswilligen Kampagne gewarnt, die gefälschte Windows-Updates per E-Mail verbreitet. Diese gefälschten E-Mails sind offensichtlich bösartig und zielen auf ukrainische Beamte ab. CERT stellt fest, dass die Bedrohungsakteure die Domäne outlook.com verwenden, um legitim zu erscheinen, und der Betreff dieser E-Mails normalerweise als „Windows Update“ gekennzeichnet ist, um die Dinge einfach zu halten. CERT fügt hinzu, dass die Kampagne von der APT28-Gruppe durchgeführt wird, die als Advanced Persistent Threat-Malware-Gruppe aus Russland eingestuft wird. Es ist auch unter anderen Namen wie Fancy Bear, Pawn Storm und anderen bekannt.

In seinem Bulletin erklärt das CERT (von Google ins Englische übersetzt):

Im April 2023 registrierte das staatliche Computer-Notfallteam der Ukraine CERT-UA Fälle der Verteilung von E-Mails mit dem Betreff „Windows Update“ unter Regierungsbehörden der Ukraine, die offenbar im Auftrag von Systemadministratoren von Ministerien verschickt wurden. Gleichzeitig können E-Mail-Adressen von Absendern, die auf dem öffentlichen Dienst „@outlook.com“ erstellt wurden, unter Verwendung des echten Nachnamens und der Initialen des Mitarbeiters gebildet werden.

Falls Sie sich fragen, wie die Bedrohungsakteure die Nutzlast liefern, erklärt CERT, dass die gefälschte E-Mail im Wesentlichen die Anweisungen enthält, die für einen erfolgreichen Angriff erforderlich sind. Bilder werden bereitgestellt ( siehe hier ), um den Opfern zu helfen, die Malware auf ihren eigenen Systemen zu installieren. Dies geschieht mit dem PowerShell-Befehl, der außerdem ein Skript herunterlädt, das „dazu dient, grundlegende Informationen über den Computer mithilfe der Befehle ‚tasklist‘ und ‚systeminfo‘ zu sammeln und die empfangenen Ergebnisse über eine HTTP-Anforderung an die Mocky-Service-API zu senden.“ Anscheinend Die Kampagne stützt sich im Wesentlichen auf die Naivität der potenziellen Opfer selbst, ihre Systeme zu infizieren.

Die offizielle Ankündigung von CERT finden Sie hier .