Categories: Cybersicherheit

Hacking-Kampagne nutzt alte Office-Lücken für Hintertür und Datendiebstahl

Eine neue Hacking-Kampagne setzt auf alte Sicherheitslücken in Microsofts Office-Anwendungen, um eine Hintertür in Windows-Betriebssysteme einzurichten, Nutzer auszuspionieren und Daten zu stehlen. Darauf weisen Forscher des Sicherheitsanbieters FireEye hin. Die Felixroot genannte Malware nimmt derzeit offenbar vor allem Nutzer in der Ukraine ins Visier.

Die Schadsoftware wird über Phishing-E-Mails verbreitet, die vorgeben, wichtige Informationen zum Thema Umweltschutz zu enthalten. FireEye vermutet deswegen, dass es sich um eine sehr zielgerichtete Kampagne handelt. Die Nachrichten sind in russischer Sprache verfasst. Der Absender sitzt angeblich in Kasachstan. Dieselbe Malware wurde den Forschern zufolge bereits im September 2017 eingesetzt, und zwar ebenfalls gegen Ziele in der Ukraine.

Die beiden Office-Schwachstellen haben die Kennungen CVE-2017-0199 und CVE-2017-11882. Erstere erlaubt die Ausführung eines Visual-Basic-Scripts, das PowerShell-Befehle enthält. Ein Opfer muss lediglich verleitet werden, ein Office-Dokument zu öffnen. Letztere ermöglicht es, beliebigen Schadcode auszuführen und unter Umständen sogar die vollständige Kontrolle über ein betroffenes System zu übernehmen.

Patches gibt es bereits seit Monaten

Beide Anfälligkeiten wurden im April beziehungsweise November 2017 gepatcht. CVE-2017-0199 wurde zu dem Zeitpunkt sogar schon aktiv ausgenutzt. Das Risiko eines Exploits für die zweite Schwachstelle stufte Microsoft Ende vergangenen Jahres als eher gering ein. Betroffen waren jeweils alle unterstützten Office-Versionen, von Office 2007 Service Pack 3 bis Office 2016.

Ein per E-Mail verschicktes Dokument “Seminar.rtf” nutzt die Sicherheitslücke CVE-2017-0199 aus, um weiteren Schadcode herunterzuladen. Im zweiten Schritt kommt dann CVE-2017-11882 zum Einsatz, um den Angreifern die vollständige Kontrolle über das System zu verschaffen. Die Hintertür nutzt zudem Verschlüsselung und wird direkt in den Hauptspeicher geladen – als dateilose Malware bleibt sie deshalb oft unerkannt.

Zudem wird sie vom Hauptspeicher aus erst nach einer Verzögerung von zehn Minuten aktiv. Als erstes nimmt die Schadsoftware dann Kontakt zu ihrem Befehlsserver auf und sammelt Informationen über das infizierte System wie Nutzernamen, Windows-Version, Prozessorarchitektur und Seriennummern.

Als weitere Maßnahme zum Schutz vor einer Erkennung legt Felixroot nach jeder Aktion eine Pause von einer Minute ein. Hat die Malware ihre Aufgaben erledigt, löscht sie alle Spuren ihrer Existenz. Da die Ermittlungen noch nicht abgeschlossen sind, machte FireEye keine Angaben zu den Opfern oder den möglichen Hintermännern. Es scheint also, als sei die Kampagne noch aktiv.

FireEye weist in dem Zusammenhang erneut darauf hin, dass der beste Schutz vor Angriffen dieser Art die Installation von allen verfügbaren Sicherheitsupdates ist. Diese und frühere Kampagnen hätten jedoch gezeigt, dass einige Organisationen diesem Rat nicht folgen. “Trotz der Veröffentlichung von Patches werden diese Anfälligkeiten aufgrund der hohen Erfolgsquote weiterhin angegriffen”, erklärte FireEye.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Redaktion

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago