Flash-Lücken werden nun auch über RTF-Dokumente ausgenutzt

Sicherheitsforscher von Palo Alto Networks haben eine Untersuchung zu einer von ihnen im August entdeckten Angriffstechnik veröffentlicht. Bei der Methode werden über den Umweg Microsoft Word eigentlich Lücken in Adobes Flash Player ausgenutzt. Dazu betten die Angreifer OLE-Word-Dokumente und Adobe-Flash-Dateien (.swf) in RTF-Dokumente ein. Die infizierten Dateien werden mit einem von ihren Entdeckern als DealersChoice bezeichneten Malware-Tool erzeugt.

Diese Dateien werden dann offenbar mit sorgfältig gefälschten Mails gezielt an hochrangige Zielpersonen verschickt. Als Hintermänner hat Palo Alto Networks die Gruppe Sofacy, die auch unter dem Namen APT 28 bekannt ist. Den Telemetriedaten von Palo Alto Networks zufolge wurden von ihr mit der “DealersChoice”-Methode bislang vorrangig Organisationen in Ländern der ehemaligen Sowjetunion angegriffen. Infizierte Dokumente wurden zum Beispiel an Empfänger in einem nicht näher genannten Außenministerium in der Region sowie an einen im Bereich Militärtechnik tätigen Unternehmer in der Ukraine verschickt.

Die Gruppe mit höchstwahrscheinlich russischem Hintergrund ist bereits in der Vergangenheit mit besonders ausgeklügelten und gezielten Angriffen in Erscheinung getreten. 2014 hatte das IT-Sicherheitsunternehmen Fireeye einen Teil ihrer Aktivitäten aufgedeckt. Sie richteten sich in den sieben Jahren zuvor gegen US-Rüstungsfirmen sowie Regierungsorgansiationen in Osteuropa und der Kaukasus-Region. Das dafür verwendete Spionageprogramm kann gestohlene Daten verschlüsseln und auf eine Weise verschicken, die dem üblichen E-Mail-Traffic des Opfers entspricht. Dadurch versucht es die Entdeckung zu verhindern. Außerdem kann sich die Malware innerhalb eines angegriffenen Unternehmens auch per USB-Stick verbreiten und so auch auf Computer ohne Zugang zum Internet gelangen. 2015 trat die Gruppe dann duch einen Cyberangriff auf das Weiße Haus in Erscheinung. Bei dem wurde wie jetzt auch eine Kombination aus Lücken in Software von Microsoft und Adobe ausgenutzt.

In die dieses jahr entdeckten, infizierten RTF-Dokumente sind zwei unterschiedliche Varianten von SWF-Dateien eingebettet; eine eigenständige Version mit einer komprimierten Nutzlast (DealersChoice.A) sowie eine modularer aufgebaute mit Anti-Analyse-Techniken (DealersChoice.B). Wird das RTF-Dokument geöffnet, wozu der Empfänger durch sehr gut gefälschte E-Mails mit glaubwürdigem Anschreiben, vertrauenswürdige erscheinender Signatur und gespoofter Absenderadresse verleitet werden soll, wird ein aus Online-Publikationen kopierter Text mit einem den Empfänger tatsächlich betreffenden Thema angezeigt.

Funktionsweise der beiden Varianten der Malware DealersChoice (Grafik: Palo Alto Networks)

Allerdings laufen parallel im Hintergrund die unerwünschten Aktivitäten der mitgebrachten Malware. Dazu gehört, dass ein eingebettetes Word-Dokument (OLE) geladen wird. Dieses wiederum lädt eine eingebettete Flash-Datei (SWF), die dann schließlich den eigentlichen Angriff auf das System durchführt. Der unterscheidet sich je nach der Variante der Malware DealersChoice: DealersChoiceA bringt den Payload gleich mit, DealesChoiceB ruft dazu erst eine Flash-Datei von einem Kontrollserver ab und installiert einen Trojaner.

Mehr zum Thema

Alternativen für Reader, Photoshop & Co.

Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.

Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

10 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

15 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

15 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago