Flash-Lücken werden nun auch über RTF-Dokumente ausgenutzt

Sicherheitsforscher von Palo Alto Networks haben eine Untersuchung zu einer von ihnen im August entdeckten Angriffstechnik veröffentlicht. Bei der Methode werden über den Umweg Microsoft Word eigentlich Lücken in Adobes Flash Player ausgenutzt. Dazu betten die Angreifer OLE-Word-Dokumente und Adobe-Flash-Dateien (.swf) in RTF-Dokumente ein. Die infizierten Dateien werden mit einem von ihren Entdeckern als DealersChoice bezeichneten Malware-Tool erzeugt.

Diese Dateien werden dann offenbar mit sorgfältig gefälschten Mails gezielt an hochrangige Zielpersonen verschickt. Als Hintermänner hat Palo Alto Networks die Gruppe Sofacy, die auch unter dem Namen APT 28 bekannt ist. Den Telemetriedaten von Palo Alto Networks zufolge wurden von ihr mit der “DealersChoice”-Methode bislang vorrangig Organisationen in Ländern der ehemaligen Sowjetunion angegriffen. Infizierte Dokumente wurden zum Beispiel an Empfänger in einem nicht näher genannten Außenministerium in der Region sowie an einen im Bereich Militärtechnik tätigen Unternehmer in der Ukraine verschickt.

Die Gruppe mit höchstwahrscheinlich russischem Hintergrund ist bereits in der Vergangenheit mit besonders ausgeklügelten und gezielten Angriffen in Erscheinung getreten. 2014 hatte das IT-Sicherheitsunternehmen Fireeye einen Teil ihrer Aktivitäten aufgedeckt. Sie richteten sich in den sieben Jahren zuvor gegen US-Rüstungsfirmen sowie Regierungsorgansiationen in Osteuropa und der Kaukasus-Region. Das dafür verwendete Spionageprogramm kann gestohlene Daten verschlüsseln und auf eine Weise verschicken, die dem üblichen E-Mail-Traffic des Opfers entspricht. Dadurch versucht es die Entdeckung zu verhindern. Außerdem kann sich die Malware innerhalb eines angegriffenen Unternehmens auch per USB-Stick verbreiten und so auch auf Computer ohne Zugang zum Internet gelangen. 2015 trat die Gruppe dann duch einen Cyberangriff auf das Weiße Haus in Erscheinung. Bei dem wurde wie jetzt auch eine Kombination aus Lücken in Software von Microsoft und Adobe ausgenutzt.

In die dieses jahr entdeckten, infizierten RTF-Dokumente sind zwei unterschiedliche Varianten von SWF-Dateien eingebettet; eine eigenständige Version mit einer komprimierten Nutzlast (DealersChoice.A) sowie eine modularer aufgebaute mit Anti-Analyse-Techniken (DealersChoice.B). Wird das RTF-Dokument geöffnet, wozu der Empfänger durch sehr gut gefälschte E-Mails mit glaubwürdigem Anschreiben, vertrauenswürdige erscheinender Signatur und gespoofter Absenderadresse verleitet werden soll, wird ein aus Online-Publikationen kopierter Text mit einem den Empfänger tatsächlich betreffenden Thema angezeigt.

Allerdings laufen parallel im Hintergrund die unerwünschten Aktivitäten der mitgebrachten Malware. Dazu gehört, dass ein eingebettetes Word-Dokument (OLE) geladen wird. Dieses wiederum lädt eine eingebettete Flash-Datei (SWF), die dann schließlich den eigentlichen Angriff auf das System durchführt. Der unterscheidet sich je nach der Variante der Malware DealersChoice: DealersChoiceA bringt den Payload gleich mit, DealesChoiceB ruft dazu erst eine Flash-Datei von einem Kontrollserver ab und installiert einen Trojaner.