Microsoft warnt vor manipulierten Office-Dokumenten

Microsoft-Sicherheitsforscher entdeckten die Schwachstelle mit manipulierten Office-Dokumenten, die auf Windows-Systemen aktiv ausgenutzt wird, im August. Das Patch Tuesday-Update dieser Woche enthielt einen Patch für den bisher unbekannten Fehler, der als CVE-2021-40444 geführt wird.

Die Angriffe waren nicht weit verbreitet und die Sicherheitslücke wurde als Teil eines frühen Angriffs genutzt, bei dem benutzerdefinierte Cobalt Strike Beacon Loader verteilt wurden. Cobalt Strike ist ein Tool für Penetrationstests.

Laut Microsofts Analyse der Angriffe waren die Loader nicht das Werk staatlich gesponserter Hacker, sondern kommunizierten mit einer Infrastruktur, die mit verschiedenen cyberkriminellen Kampagnen in Verbindung gebracht wird, darunter auch Ransomware.

Die Social-Engineering-Köder, die bei einigen der Angriffe verwendet wurden, lassen auf ein Element der gezielten Ansprache schließen, so Microsoft: Die Kampagne gab vor, einen Entwickler für eine mobile Anwendung zu suchen, wobei mehrere Anwendungsentwicklungsorganisationen ins Visier genommen wurden.

Mindestens ein Unternehmen, das durch diese Kampagne erfolgreich kompromittiert wurde, war zuvor durch eine Welle ähnlich gelagerter Malware kompromittiert worden, so Microsoft. In einer späteren Angriffswelle wurde jedoch nicht mehr auf Anwendungsentwickler abgezielt, sondern es wurde mit einem Bagatellverfahren gedroht.

Die Angreifer nutzten in diesem Fall die Schwachstelle in der IE-Rendering-Engine, um ein bösartiges ActiveX-Steuerelement über ein Office-Dokument zu laden.

Obwohl die Angreifer Zugang zu den betroffenen Geräten erhielten, verließen sie sich darauf, Anmeldeinformationen zu stehlen und sich seitlich im Netzwerk zu bewegen, um das gesamte Unternehmen zu schädigen. Microsoft empfiehlt seinen Kunden, den Patch vom Dienstag zu installieren, um die Schwachstelle vollständig zu beheben, empfiehlt aber auch, das Netzwerk zu härten, wichtige Anmeldeinformationen zu bereinigen und Maßnahmen zu ergreifen, um seitliche Bewegungen zu verhindern.

Microsoft betrachtet diesen Angriff als das Werk eines aufstrebenden oder sich entwickelnden Bedrohungsakteurs und verfolgt die Verwendung der Cobalt Strike-Infrastruktur als DEV-0365. Sie scheint von einem einzigen Betreiber betrieben zu werden. Microsoft geht jedoch davon aus, dass Folgeaktivitäten, wie zum Beispiel die Conti-Ransomware, durchgeführt wurden. Der Software-Riese vermutet, dass es sich um eine Befehls- und Kontrollinfrastruktur handeln könnte, die als Service an andere Cyberkriminelle verkauft wird.

Einige der Infrastrukturen, die die oleObjects gehostet haben, die bei den Angriffen im August 2021 unter Ausnutzung von CVE-2021-40444 verwendet wurden, waren auch an der Bereitstellung von BazaLoader- und Trickbot-Nutzlasten beteiligt – Aktivitäten, die sich mit einer Gruppe überschneiden, die Microsoft als DEV-0193 verfolgt. Die Aktivitäten von DEV-0193 überschneiden sich mit Aktionen, die von Mandiant als UNC1878 verfolgt werden, so Microsoft.

Die BazaLoader-Malware wurde von böswilligen Callcenter-Betreibern eingesetzt, die mit Hilfe von Social Engineering die Zielpersonen dazu bringen, Betreiber anzurufen, die versuchen, die Opfer zur freiwilligen Installation von Malware zu bewegen. Die Gruppen verwenden keine bösartigen Links in den E-Mails, die an die Zielpersonen geschickt werden, und umgehen so die üblichen E-Mail-Filterregeln.

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

1 Tag ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

1 Tag ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago