Angreifer nutzten gefälschte AWS-Domains in Phishingkampagne

Sicherheitsforscher des AWS Security Team haben eine Phishing-Kampagne gestoppt, bei der tausende gefälschte AWS-Domains genutzt wurden. Amazon hat seit der Entdeckung der Kampagne massenweise Domains abgeschaltet. Die AWS-Sicherheitsforscher und das Computer Emergency Response Team der Ukraine, CERT-UA, bezichtigen die russische Cyberkriminellen-Gruppierung APT29. Die Angreifer haben demnach versucht, mit den gefälschten AWS-Domains Anmeldedaten von ukrainischsprachigen Zielen zu erbeuten.

Ukrainische Ziele im Visier

Die gefälschten AWS-URLs dienten offenbar als Köder. Nachdem die Opfer auf den Link einer solchen URL geklickt hatten, landeten sie auf einer Malware-Downloadseite, die einen sogenannten RDP-Trojaner installiert, der Anmeldedaten von Windows-Systemen stiehlt.

Amazons Chief Information Security Officer CJ Moses schrieb in einem Posting auf LinkedIn, dass Amazon selbst nicht im Visier der Angreifer war. Auch zielten die Angriffe nicht auf Anmeldedaten von AWS-Kunden ab. Stattdessen hatten die Angreifer Ziele mit Verbindungen zu Regierungsbehörden, Unternehmen und dem ukrainischen Militär im Visier. Laut dem AWS-CISO entspricht das Vorgehen der Gruppe in diesem Fall nicht ihrem sonstigen Verhalten: APT29 verfolgte sonst eher einen enger gefassten Ansatz – dieses Mal seien die Phishingmails an viele Ziele verschickt worden.

Das ukrainische CERT hat ein Advisory mit weiteren Details zu dem Fall veröffentlicht. Cybercrime spielt im Krieg Russlands gegen die Ukraine auf beiden Seiten eine Rolle. Im Juni etwa machten die ukrainischen Behörden Personen dingfest, die sie der Cyberkriminalität verdächtigten, die mutmaßlich im Dienst russischer Auftraggeber handelten. Und laut einem Bericht der russischen Nachrichtenagentur Ria Novosti strebt Russland offenbar die Schaffung einer Cybersicherheitsbehörde an.

(kst)