CISA warnt vor russischer Cyberkampagne: Zero-Day-Lücke in Commvault Azure-App ausgenutzt

25. Mai 2025

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) warnt vor einer gezielten Cyberangriffskampagne, bei der staatlich unterstützte russische Hacker eine kritische Sicherheitslücke in der Azure-basierten Anwendung des Datensicherungsanbieters Commvault ausnutzen. Ziel der Angreifer sei es, sensible Authentifizierungsdaten von Kunden zu stehlen, die Commvault für seine Backup-Lösung „Metallic Microsoft 365“ verwaltet.

Laut einer am 22. Mai veröffentlichten Warnmeldung hat Commvault die Zero-Day-Schwachstelle mit der Kennung CVE-2025-3928 in seinem Webserver bestätigt. Über diese Lücke konnten sich die Angreifer unautorisierten Zugang zu Anwendungsgeheimnissen verschaffen, die für den Zugriff auf Kundenumgebungen in Microsoft 365 notwendig sind.

Die Vorfälle sind Teil einer umfassenderen, mutmaßlich vom russischen Militärgeheimdienst GRU gesteuerten Cyberspionagekampagne. Im Fokus der Angriffe stehen vor allem westliche Technologie- und Logistikunternehmen, insbesondere solche, die an der Bereitstellung und Koordination internationaler Hilfe für die Ukraine beteiligt sind.

Konkret wird die Hackergruppe „Einheit 26165“, auch bekannt unter verschiedenen Codenamen in der Cybersicherheitsbranche, für die Angriffe verantwortlich gemacht. Sie gehört zum 85. Hauptzentrum für Sonderdienste (85. GTsSS) des GRU und ist seit 2022 durch wiederholte Angriffe auf westliche Infrastrukturen aufgefallen. Die Gruppe nutzt dabei eine Kombination aus bekannten Taktiken, Techniken und Verfahren (TTPs).

CISA ruft insbesondere IT-Sicherheitsverantwortliche in Logistik- und Technologieunternehmen dazu auf, ihre Überwachungsmaßnahmen zu verschärfen, nach relevanten Indikatoren für Kompromittierung (IOCs) zu suchen und ihre Verteidigungsstrategien auf gezielte Angriffe auszurichten.

Die aktuelle Bedrohung steht laut CISA in Verbindung mit früheren, groß angelegten Operationen gegen IP-Kameras in der Ukraine sowie an NATO-Grenzen – ein Hinweis auf den strategischen Charakter der Spionagekampagne.

Einführung

Seit über zwei Jahren führt die russische GRU 85th GTsSS, Militäreinheit 26165 – in der Cybersicherheits-Community allgemein bekannt als APT28, Fancy Bear, Forest Blizzard, BlueDelta und unter einer Vielzahl anderer Bezeichnungen – diese Kampagne durch, wobei sie eine Mischung aus bekannten Taktiken, Techniken und Verfahren (TTPs) einsetzt, darunter rekonstruierte Passwort-Spraying-Fähigkeiten, Spearphishing und die Änderung von Microsoft Exchange-Postfachberechtigungen.

Ende Februar 2022 verstärkten mehrere staatlich geförderte russische Cyberakteure ihre vielfältigen Cyberoperationen zu Zwecken der Spionage, Zerstörung und Einflussnahme, wobei die Einheit 26165 vorwiegend an Spionageaktivitäten beteiligt war. [1] Da die russischen Streitkräfte ihre militärischen Ziele nicht erreichen konnten und westliche Länder Hilfe zur Verteidigung des ukrainischen Territoriums leisteten, weitete die Einheit 26165 ihre Angriffe auf Logistikunternehmen und Technologieunternehmen aus, die an der Lieferung von Hilfsgütern beteiligt waren. Diese Akteure haben auch internetfähige Kameras an ukrainischen Grenzübergängen ins Visier genommen, um Hilfstransporte zu überwachen und zu verfolgen.

Hinweis: Diese Empfehlung basiert auf dem MITRE ATT&CK for Enterprise Framework, Version 17. Eine Tabelle mit den Aktivitäten der Bedrohungsakteure, die den Taktiken und Techniken von MITRE ATT&CK zugeordnet sind, finden Sie unter Anhang A: MITRE ATT&CK-Taktiken und -Techniken. Diese Empfehlung basiert auf dem MITRE D3FEND® Framework, Version 1.0.

Beschreibung der Ziele

Die Cyberkampagne der GRU-Einheit 26165 gegen westliche Logistikdienstleister und Technologieunternehmen hat Dutzende von Unternehmen ins Visier genommen, darunter Regierungsorganisationen und private/kommerzielle Unternehmen aus nahezu allen Bereichen des Transportwesens: Luft-, See- und Schienenverkehr. Diese Akteure haben Unternehmen aus den folgenden Branchen in NATO-Mitgliedstaaten, der Ukraine und bei internationalen Organisationen ins Visier genommen:

• Verteidigungsindustrie
• Transport und Verkehrsknotenpunkte (Häfen, Flughäfen usw.)
• Seeverkehr
• Flugverkehrsmanagement
• IT-Dienstleistungen

Im Laufe des Lebenszyklus der Angriffe identifizierten die Akteure der Einheit 26165 weitere Unternehmen im Transportsektor, die Geschäftsbeziehungen zum primären Ziel hatten, und führten Folgeangriffe durch, wobei sie Vertrauensbeziehungen ausnutzten, um sich zusätzlichen Zugriff zu verschaffen [T1199].

Die Akteure führten außerdem Aufklärungsmaßnahmen bei mindestens einem Unternehmen durch, das an der Herstellung von Komponenten für industrielle Steuerungssysteme (ICS) für das Eisenbahnmanagement beteiligt ist, wobei jedoch keine erfolgreiche Kompromittierung bestätigt werden konnte [TA0043].

Zu den Ländern mit Zielunternehmen gehörent:

• Bulgarien
• Tschechische Republik
• Frankreich
• Deutschland
• Griechenland
• Italien
• Moldawien
• Niederlande
• Polen
• Rumänien
• Slowakei
• Ukraine
• Vereinigte Staaten

TTP für den ersten Zugriff

Um sich ersten Zugriff auf die Zielunternehmen zu verschaffen, verwendeten die Akteure der Einheit 26165 verschiedene Techniken, darunter (aber nicht ausschließlich):

• Erraten von Anmeldedaten [T1110.001] / Brute-Force-Angriffe [T1110.003] Spearphishing zum Abgreifen von Anmeldedaten [T1566] Spearphishing zum Verbreiten von Malware [T1566] Outlook NTLM-Sicherheitslücke (CVE-2023-23397) Roundcube-Sicherheitslücken (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026) Ausnutzung von Schwachstellen in öffentlich zugänglichen Infrastrukturen, einschließlich Unternehmens-VPNs [T1133 ], über öffentliche Schwachstellen und SQL-Injection [T1190] Ausnutzung einer WinRAR-Sicherheitslücke (CVE-2023-38831)

Die Akteure missbrauchten Schwachstellen einer Reihe von Marken und Modellen von SOHO-Geräten (Small Office/Home Office), um verdeckte Cyberoperationen zu erleichtern und böswillige Aktivitäten über Geräte mit Geolokalisierung in der Nähe des Ziels zu proxyen [T1665]. [2]

Erraten von Anmeldedaten/Brute-Force

Die Operationen der Akteure der Unit 26165 zum Erraten von Anmeldedaten [T1110.001] in dieser Kampagne weisen einige ähnliche Merkmale auf wie die in der vorherigen CSA-Veröffentlichung „Russische GRU führt globale Brute-Force-Kampagne durch, um Unternehmens- und Cloud-Umgebungen zu kompromittieren“ beschriebenen. [3] Basierend auf Untersuchungen des Opfernetzwerks verwendet die aktuelle Version dieser TTP eine ähnliche Kombination aus Anonymisierungsinfrastruktur, einschließlich der Verwendung von Tor und kommerziellen VPNs [T1090.003]. Die Akteure wechselten häufig die verwendeten IP-Adressen, um die Erkennung weiter zu erschweren. Alle beobachteten Verbindungen wurden über verschlüsseltes TLS hergestellt [T1573].

Spearphishing

Die Spearphishing-E-Mails der Akteure der GRU-Einheit 26165 enthielten Links [T1566.002], die zu gefälschten Anmeldeseiten führten, die verschiedene Regierungsbehörden und westliche Cloud-E-Mail-Anbieter imitierten. Diese Webseiten wurden in der Regel auf kostenlosen Diensten von Drittanbietern oder kompromittierten SOHO-Geräten gehostet und verwendeten häufig legitime Dokumente, die thematisch mit den imitierten Behörden in Verbindung standen, als Köder. Die Themen der Spearphishing-E-Mails waren vielfältig und reichten von beruflichen Themen bis hin zu Themen für Erwachsene. Phishing-E-Mails wurden häufig über kompromittierte Konten oder kostenlose Webmail-Konten versendet [T1586.002, T1586.003]. Die E-Mails waren in der Regel in der Muttersprache des Ziels verfasst und an einen einzelnen Empfänger gesendet.

Einige Kampagnen verwendeten mehrstufige Weiterleitungen [T1104], die die IP-Geolokalisierung [T1627.001] und Browser-Fingerabdrücke [T1627] überprüften, um die Infrastruktur zum Sammeln von Anmeldedaten zu schützen oder eine Multi-Faktor-Authentifizierung (MFA) [T1111] und CAPTCHA-Weiterleitungsfunktionen [T1056] bereitzustellen. Endpunkte, die die Standortprüfung nicht bestanden, wurden auf eine harmlose URL [T1627] wie msn.com umgeleitet. Zu den verwendeten Umleitungsdiensten gehören:

• Webhook[.]site
• FrgeIO
• InfinityFree
• Dynu
• Mocky
• Pipedream
• Mockbin[.]org

Die Akteure nutzten auch Spearphishing, um Malware (einschließlich HEADLACE und MASEPIE) ausführbare Dateien [T1204.002] über Dienste von Drittanbietern und Redirectors [T1566.002] zu verbreiten, Skripte in verschiedenen Sprachen [T1059] (einschließlich BAT [T1059.003] und VBScript [T1059.005]) und Links zu gehosteten Verknüpfungen [T1204.001].

CVE-Verwendung

Während dieser Kampagne nutzte die GRU-Einheit 26165 eine Outlook-NTLM-Sicherheitslücke (CVE-2023-23397) aus, um NTLM-Hashes und Anmeldedaten über speziell gestaltete Outlook-Kalendertermin-Einladungen zu sammeln [T1187]. [4],[5] Diese Akteure nutzten außerdem eine Reihe von Roundcube-CVEs (CVE-2020-12641, CVE-2020-35730 und CVE-2021-44026), um beliebige Shell-Befehle [T1059] auszuführen, Zugriff auf die E-Mail-Konten der Opfer zu erlangen und sensible Daten von E-Mail-Servern abzurufen [T1114].

Seit mindestens Herbst 2023 nutzten die Akteure eine WinRAR-Sicherheitslücke (CVE-2023-38831), die die Ausführung von in einem Archiv eingebettetem beliebigem Code als Mittel für den ersten Zugriff ermöglichte [T1659]. Die Akteure versendeten E-Mails mit bösartigen Anhängen [T1566.001] oder eingebetteten Hyperlinks [T1566.002], die ein mit dieser CVE erstelltes bösartiges Archiv herunterluden.

Den vollständigen Bericht können Sie über diesen Link abrufen.

Redaktion AllAboutSecurity

---

Bild/Quelle: https://depositphotos.com/de/home.html