Microsoft warnt vor manipulierten Office-Dokumenten

Microsoft-Sicherheitsforscher entdeckten die Schwachstelle mit manipulierten Office-Dokumenten, die auf Windows-Systemen aktiv ausgenutzt wird, im August. Das Patch Tuesday-Update dieser Woche enthielt einen Patch für den bisher unbekannten Fehler, der als CVE-2021-40444 geführt wird.

Die Angriffe waren nicht weit verbreitet und die Sicherheitslücke wurde als Teil eines frühen Angriffs genutzt, bei dem benutzerdefinierte Cobalt Strike Beacon Loader verteilt wurden. Cobalt Strike ist ein Tool für Penetrationstests.

Laut Microsofts Analyse der Angriffe waren die Loader nicht das Werk staatlich gesponserter Hacker, sondern kommunizierten mit einer Infrastruktur, die mit verschiedenen cyberkriminellen Kampagnen in Verbindung gebracht wird, darunter auch Ransomware.

Die Social-Engineering-Köder, die bei einigen der Angriffe verwendet wurden, lassen auf ein Element der gezielten Ansprache schließen, so Microsoft: Die Kampagne gab vor, einen Entwickler für eine mobile Anwendung zu suchen, wobei mehrere Anwendungsentwicklungsorganisationen ins Visier genommen wurden.

Mindestens ein Unternehmen, das durch diese Kampagne erfolgreich kompromittiert wurde, war zuvor durch eine Welle ähnlich gelagerter Malware kompromittiert worden, so Microsoft. In einer späteren Angriffswelle wurde jedoch nicht mehr auf Anwendungsentwickler abgezielt, sondern es wurde mit einem Bagatellverfahren gedroht.

Die Angreifer nutzten in diesem Fall die Schwachstelle in der IE-Rendering-Engine, um ein bösartiges ActiveX-Steuerelement über ein Office-Dokument zu laden.

Obwohl die Angreifer Zugang zu den betroffenen Geräten erhielten, verließen sie sich darauf, Anmeldeinformationen zu stehlen und sich seitlich im Netzwerk zu bewegen, um das gesamte Unternehmen zu schädigen. Microsoft empfiehlt seinen Kunden, den Patch vom Dienstag zu installieren, um die Schwachstelle vollständig zu beheben, empfiehlt aber auch, das Netzwerk zu härten, wichtige Anmeldeinformationen zu bereinigen und Maßnahmen zu ergreifen, um seitliche Bewegungen zu verhindern.

Microsoft betrachtet diesen Angriff als das Werk eines aufstrebenden oder sich entwickelnden Bedrohungsakteurs und verfolgt die Verwendung der Cobalt Strike-Infrastruktur als DEV-0365. Sie scheint von einem einzigen Betreiber betrieben zu werden. Microsoft geht jedoch davon aus, dass Folgeaktivitäten, wie zum Beispiel die Conti-Ransomware, durchgeführt wurden. Der Software-Riese vermutet, dass es sich um eine Befehls- und Kontrollinfrastruktur handeln könnte, die als Service an andere Cyberkriminelle verkauft wird.

Einige der Infrastrukturen, die die oleObjects gehostet haben, die bei den Angriffen im August 2021 unter Ausnutzung von CVE-2021-40444 verwendet wurden, waren auch an der Bereitstellung von BazaLoader- und Trickbot-Nutzlasten beteiligt – Aktivitäten, die sich mit einer Gruppe überschneiden, die Microsoft als DEV-0193 verfolgt. Die Aktivitäten von DEV-0193 überschneiden sich mit Aktionen, die von Mandiant als UNC1878 verfolgt werden, so Microsoft.

Die BazaLoader-Malware wurde von böswilligen Callcenter-Betreibern eingesetzt, die mit Hilfe von Social Engineering die Zielpersonen dazu bringen, Betreiber anzurufen, die versuchen, die Opfer zur freiwilligen Installation von Malware zu bewegen. Die Gruppen verwenden keine bösartigen Links in den E-Mails, die an die Zielpersonen geschickt werden, und umgehen so die üblichen E-Mail-Filterregeln.

ZDNet.de Redaktion

Recent Posts

Microsoft baut KI-Rechenzentrum in NRW

Der Standort Elsdorf liegt in der Nähe wichtiger europäischer Datenleitungen. Eine neue Qualifizierungsoffensive soll zudem…

11 Stunden ago

Microsoft kündigt Office 2024 an

Für Geschäftskunden plant Microsoft die Version Office LTSC 2024 Professional Plus, Standard und Embedded. Auch…

19 Stunden ago

Tor Project führt neue Sicherheitsfunktion WebTunnel ein

Der WebTunnel richtet sich an Nutzer in Region mit einer starken Internetzensur. Die Sicherheitsfunktion vermischt…

3 Tagen ago

HubSpot: Effizientes Customer-Relationship-Management

In der Welt des effizienten CRM ist HubSpot eine herausragende Wahl für kleine und aufstrebende…

4 Tagen ago

Wondershare PDFelement: PDFs mit einem Klick zusammenfügen

Wondershare PDFelement ist eine leistungsstarke Software, die sich auf die Bearbeitung von PDF-Dokumenten spezialisiert hat.…

4 Tagen ago

Android, KI: Google kündigt Entwicklerkonferenz Google I/O 2024 an

Sie startet am 14. Mai mit einer Keynote. Auf der Tagesordnung stehen wahrscheinlich vor allem…

4 Tagen ago