Arctic Wolf Labs, das Threat-Research-Team von Arctic Wolf, hat herausgefunden, dass die für den Infostealer „GIFTEDCROOK“ bekannte Cyberspionage-Gruppe UAC-0226 ihre Fähigkeiten erheblich ausgebaut hat. Sie hat die Malware von einem einfachen Browser-Datastealer (bezeichnet als v1) durch zwei neue Upgrades (v1.2 und v1.3) in ein robustes Tool zum Sammeln von Informationen umgewandelt.
Die Analyse von Dateien vom Februar 2025 legt nahe, dass das Giftedcrook-Projekt in diesem Zeitraum als Demo begann. Es wurde weiterentwickelt und im März 2025 in Betrieb genommen. Seither wurden kontinuierlich neue Fähigkeiten hinzugefügt.
Die jüngsten Kampagnen im Juni 2025 zeigen, dass Giftedcrook nun in der Lage ist, eine breite Palette sensibler Dokumente von den Geräten der Zielpersonen zu exfiltrieren − einschließlich potenziell geschützter Dateien und Browser-Informationen. Diese Funktionserweiterungen in Verbindung mit dem Inhalt der Phishing-Köder und den beobachteten Angriffszeiten, die mit kritischen geopolitischen Ereignissen wie den Friedensverhandlungen der Ukraine im Juni in Istanbul zusammenfielen, lassen auf einen strategischen Fokus auf die Sammlung von Informationen von ukrainischen Regierungs- und Militäreinrichtungen schließen.
Wichtige Erkenntnisse von Arctic Wolf im Überblick:
- Geopolitischer Hintergrund: Im Juni 2025 haben Verhandlungen zwischen der Ukraine und Russland, unter anderem über den Austausch von Gefangenen und gefallenen Soldaten, stattgefunden. Um sich in diesen Gesprächen einen strategischen Vorteil zu verschaffen, führte Russland eine Reihe präventiver Cyberangriffe durch, bei denen mittels einer Spear-Phishing-Kampagne Daten von militärischen und staatlichen Einrichtungen in der Ukraine entwendet wurden. Dabei kam ein Infostealer mit dem Namen Giftedcrook zum Einsatz.
- Hintergrund zur Malware: Bereits im April berichtete das CERT-UA, dass die Hackergruppe UAC-0226 gezielt „kritische ukrainische Sektoren“ mit der Malware Giftedcrook angegriffen habe. GIFTEDCROOK ist ein hochentwickelter Infostealer, der für umfangreiche Datendiebstähle eingesetzt wird. Er wird im Rahmen von Spear-Phishing-Kampagnen verbreitet und dient der verdeckten Informationsbeschaffung.
- Aktuelle Entwicklungen: Während das CERT-UA ursprünglich berichtete, dass die beobachtete Version von GIFTEDCROOK lediglich Cookies, Browserverläufe und im Browser gespeicherte Passwörter von ukrainischen Endgeräten entwendet habe, konnte das Arctic Wolf-Team nun eine neue, erweiterte Version identifizieren. Diese Variante ist nun auch in der Lage, Dateien – einschließlich verschlüsselter Dateien – von ukrainischen Systemen zu exfiltrieren. Zudem verfügt sie über ein neues cloudbasiertes Ausleitungssystem über den Cloudspeicher Mega. Zusätzlich wurde ein weiteres Giftedcrook-Implantat entdeckt, das in der Lage ist, sämtliche auf einem Gerät gespeicherten Daten zu stehlen.
- Forschungsschwerpunkt: Neben der Analyse der erweiterten Funktionalität von Giftedcrook enthält der Arctic Wolf-Report auch eine Untersuchung der eingesetzten Social-Engineering-Methoden. Dazu zählen E-Mail Games, Header-Analyse und Untersuchung der verwendeten Domains sowie eine Analyse der in den Phishing E-Mails enthaltenen Metadaten, um Hinweise auf die Angreifer und deren Infrastruktur zu gewinnen.
#ArcticWolf
powered by Borlabs Cookie 