Die Sicherheitexperten Cisco Talos haben eine eher ungewöhnliche Malware analysiert. Der Schädling verbirgt sich in Microsoft-Word-Dokumenten und scheint vor allem auf Regierungsstellen von Staaten zu zielen, die der NATO angehören. Die Malware solle offenbar dazu dienen, Staatsgeheimnisse auszuspionieren. Die Kampagne habe zwischen Weihnachten und Neujahr stattgefunden. Derzeit deute nichts darauf hin, dass Regierungsstellen mit der Malware infiziert wurden.
Das Sicherheitsteam entdeckt in dem digitalen Schädling zahlreiche ausgefeilte Komponenten. Das lege die Vermutung nahe, dass es sich nicht um eine herkömmliche Malware handle, sondern dass staatliche Stellen die Entwicklung des digitalen Schädlings betrieben haben könnten.
In einer Analyse des Cisco-Teams, die mit ‘Matryoshka Doll Reconnaissance Framework’ betitelt ist, stellen die Forscher fest, dass diese Malware über verschiedene ungewöhnliche Features verfügt, so sei die Malware unter anderem in der Lage, Sandbox-Sicherheitslösungen zu umgehen und sorgt über das Einspielen von Daten-Müll dafür, dass Sicherheits-Tools zum Absturz gebracht werden.
Zudem verfüge das bösartige Dokument über eine Abfolge von eingebetteten Objekten. Diese lösen über mehrere Stufen hinweg den eigentlichen Payload der Malware aus. Anschließend wird eine Verbindung mit einem Command-and-Control-Server hergestellt, neben verschiedenen anderen Informationen liest die Malware dann auch die Version des Betriebssystems und von Adobe Flash aus und meldet diese an den C&C-Server.
“Die Analyse des Microsoft Office Dokuments zeigt einen sehr hoch entwickelten Workflow der Infizierung. Die eigentliche Aufgabe des Dokuments liegt darin, das Opfer auszuspionieren, um die Kommunikation mit einer Sandbox oder den Maschinen eines Sicherheitsanalysten zu umgehen. Zweitens, über Adobe Flash wird der Payload und ein Exploit für Adobe Flash abgerufen, der geladen und ausgeführt wird”, erklärt das Talos-Team von Cisco.
Bei der untersuchten Word-Datei handelt es sich um RTF-Dokument, in das zunächst ein OLE-Objekt eingebettet ist. Und in diesem OLE-Objekt steckt wiederum ein Adobe-Flash-Objekt. Über ein ActionScript wird dann ein Binary extrahiert, bei dem es sich ebenfalls um ein Adobe-Flash-Objekt handelt, das mit XOR und zlib komprimiert ist. Erst dieses zweite Adobe Flash-Objekt ist der eigentliche Payload der Malware, der dann eine HTTP-Verbindung mit dem C&C-Server erstellt.
Dieser Ansatz sei aus Sicht der Angreifer sehr geschickt, heißt es weiter, weil so der eigentliche Exploit nicht in das Dokument eingebettet ist und nicht von einem Antivirenprogramm erkannt werden kann. Die Angreifer hätten ein minimalistisches aber sehr effizientes Framework aufgesetzt, das sich aber je nach Bedarf auch während des Einsatzes ändern lässt, so die Autoren weiter.
Interessant sei auch, dass der eigentliche Payload zusammen mit großen Mengen Junk-Daten ausgegeben werde. Damit wollen die Angreifer offenbar Ressourcen-Probleme bei den Sicherheitssystemen verursachen. Damit soll vor allem eine Untersuchung der Malware unmöglich gemacht werden. Dass mit dieser Malware vor allem NATO-Mitglieder ausgekundschaftet werden sollten, schließen die Sicherheitsexperten lediglich aus dem Dateinamen des manipulierten Dokuments.
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…
Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.
Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…