Flash-Lücken werden nun auch über RTF-Dokumente ausgenutzt

Sicherheitsforscher von Palo Alto Networks haben eine Untersuchung zu einer von ihnen im August entdeckten Angriffstechnik veröffentlicht. Bei der Methode werden über den Umweg Microsoft Word eigentlich Lücken in Adobes Flash Player ausgenutzt. Dazu betten die Angreifer OLE-Word-Dokumente und Adobe-Flash-Dateien (.swf) in RTF-Dokumente ein. Die infizierten Dateien werden mit einem von ihren Entdeckern als DealersChoice bezeichneten Malware-Tool erzeugt.

Diese Dateien werden dann offenbar mit sorgfältig gefälschten Mails gezielt an hochrangige Zielpersonen verschickt. Als Hintermänner hat Palo Alto Networks die Gruppe Sofacy, die auch unter dem Namen APT 28 bekannt ist. Den Telemetriedaten von Palo Alto Networks zufolge wurden von ihr mit der “DealersChoice”-Methode bislang vorrangig Organisationen in Ländern der ehemaligen Sowjetunion angegriffen. Infizierte Dokumente wurden zum Beispiel an Empfänger in einem nicht näher genannten Außenministerium in der Region sowie an einen im Bereich Militärtechnik tätigen Unternehmer in der Ukraine verschickt.

Die Gruppe mit höchstwahrscheinlich russischem Hintergrund ist bereits in der Vergangenheit mit besonders ausgeklügelten und gezielten Angriffen in Erscheinung getreten. 2014 hatte das IT-Sicherheitsunternehmen Fireeye einen Teil ihrer Aktivitäten aufgedeckt. Sie richteten sich in den sieben Jahren zuvor gegen US-Rüstungsfirmen sowie Regierungsorgansiationen in Osteuropa und der Kaukasus-Region. Das dafür verwendete Spionageprogramm kann gestohlene Daten verschlüsseln und auf eine Weise verschicken, die dem üblichen E-Mail-Traffic des Opfers entspricht. Dadurch versucht es die Entdeckung zu verhindern. Außerdem kann sich die Malware innerhalb eines angegriffenen Unternehmens auch per USB-Stick verbreiten und so auch auf Computer ohne Zugang zum Internet gelangen. 2015 trat die Gruppe dann duch einen Cyberangriff auf das Weiße Haus in Erscheinung. Bei dem wurde wie jetzt auch eine Kombination aus Lücken in Software von Microsoft und Adobe ausgenutzt.

In die dieses jahr entdeckten, infizierten RTF-Dokumente sind zwei unterschiedliche Varianten von SWF-Dateien eingebettet; eine eigenständige Version mit einer komprimierten Nutzlast (DealersChoice.A) sowie eine modularer aufgebaute mit Anti-Analyse-Techniken (DealersChoice.B). Wird das RTF-Dokument geöffnet, wozu der Empfänger durch sehr gut gefälschte E-Mails mit glaubwürdigem Anschreiben, vertrauenswürdige erscheinender Signatur und gespoofter Absenderadresse verleitet werden soll, wird ein aus Online-Publikationen kopierter Text mit einem den Empfänger tatsächlich betreffenden Thema angezeigt.

Funktionsweise der beiden Varianten der Malware DealersChoice (Grafik: Palo Alto Networks)

Allerdings laufen parallel im Hintergrund die unerwünschten Aktivitäten der mitgebrachten Malware. Dazu gehört, dass ein eingebettetes Word-Dokument (OLE) geladen wird. Dieses wiederum lädt eine eingebettete Flash-Datei (SWF), die dann schließlich den eigentlichen Angriff auf das System durchführt. Der unterscheidet sich je nach der Variante der Malware DealersChoice: DealersChoiceA bringt den Payload gleich mit, DealesChoiceB ruft dazu erst eine Flash-Datei von einem Kontrollserver ab und installiert einen Trojaner.

Mehr zum Thema

Alternativen für Reader, Photoshop & Co.

Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.

Redaktion

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago