Eric Litowsky, Regional Director bei BlueVoyant
Vor kurzem hat das Security Operations Center von BlueVoyant in einem Blogbeitrag einen gezielten Social-Engineering-Angriff auf eine europäische Finanzinstitution, die unter anderem an regionalen Entwicklungs- und Wiederaufbaumaßnahmen in der Ukraine beteiligt ist, aufgedeckt – und rechtzeitig eliminiert. Hinter dem Angriff vermuten die Sicherheitsanalysten des BlueVoyant-SOC die Russland nahestehende Gruppe Mercenary Akula – aka UAC-0050, aka DaVinci Group. Ziel der Angreifer war es wohl, Informationen zu sammeln, die dann für weitere bösartige Aktivitäten hätten genutzt werden sollten.
Am 9. Februar 2026 fiel den Analysten des BlueVoyant-SOC eine verdächtige E-Mail auf, die an einen Mitarbeiter des Finanzinstituts, einen hochrangigen Rechts- und Politikberater, der im Beschaffungswesen arbeitete und privilegierte Einblicke in institutionelle Abläufe und Finanzmechanismen besaß, gerichtet war. Eine nähere Untersuchung ergab, dass es sich um eine Spear Phishing-E-Mail handelte. Um die E-Mail für das Opfer realistisch erscheinen zu lassen, er korrespondierte regelmäßig mit Kunden und Partnern in der Ukraine, hatten die Angreifer die E-Mail-Domain der ukrainischen Justiz gefälscht. Die E-Mail enthielt einen Pixeldrain-Download-Link und eine Fake-Anweisung der Institution, sich eine dort gehostete Archivdatei herunterzuladen. Die Archivdatei, ein ZIP-Archiv, enthielt nun eine verschachtelte RAR-Datei, die wiederum eine passwortgeschützte 7-Zip-Datei enthielt. Über diesen mehrstufigen Extraktionsprozess versuchten die Angreifer, automatisierte Scans der Sicherheit des Opfers zu umgehen. Die endgültige Nutzlast war dann eine ausführbare *.exe-Datei, die über eine doppelte Dateiendung als PDF-Dokument getarnt war. Wurde diese Datei nun gestartet, aktivierte sich ein MSI-Installationsprogramm für ein Remote Manipulator System (RMS). Über dieses System wollten sich die Angreifer einen dauerhaften Zugriff auf das Netzwerk ihres Opfers verschaffen und an streng vertrauliche Informationen, zum Beispiel Finanzdaten, gelangen.
In den vergangenen Jahren haben die Angreifer von Mercenary Akula in ihren Kampagnen immer wieder mit hochgradig glaubwürdigen, lokalisierten Ködern gearbeitet – etwa indem sie sich als ukrainisches Gericht, die Nationalbank der Ukraine, dessen staatlichen Steuerdienst oder auch als Unternehmenssoftware M.E.Doc ausgegeben haben. Ziel war es stets, den Fernzugriff auf ein ausgemachtes Opfersystem zu erlangen – um dann sensible Finanz- oder Rechtsinformationen zu extrahieren oder direkt Finanzbetrug zu begehen.
Neu am vorliegenden Fall ist, dass die Gruppe für ihre Aktivitäten nun auch Opfer in europäischen Finanzeinrichtungen in den Fokus zu nehmen scheint. Die Sicherheitsanalysten des BlueVoyant-SOC, die die Bedrohung rechtzeitig lokalisieren und beheben konnten, raten Finanzinstitutionen, die in der Ukraine aktiv sind – aber auch allen anderen – weiter an ihrer ganzheitlichen Verteidigungsstrategie zu arbeiten. Neben einer erhöhten Sensibilisierung der Mitarbeiter für regionalspezifische Köder sollten diese sich auf eine verbesserte E-Mail-Filterung für komplexe Archive, strenge Anwendungskontrollrichtlinien zum Blockieren nicht autorisierter Fernzugriffssoftware und eine verbesserte Authentifizierung von Finanztransaktionen, die nicht durch die Kompromittierung von Endpunkten umgangen werden kann, konzentrieren. Dann werden sie auch professionellen Angreifern wie Mercenary Akula etwas entgegenzusetzen haben.
Weitere Artikel
DRP und TFC von BlueVoyant decken mehrstufige Phishing-Kampagne auf, die es auf Kunden von Finanzinstituten abgesehen hat
BlueVoyant – SOC und TFC decken breit aufgestellte RMM-Angriffskampagne auf
KI in der Cyber-Bedrohungslandschaft – Neue Herausforderungen für Sicherheitsteams
Cyberangriff auf den Kamerahersteller Axis Communications mit Hilfe von Social Engineering