Microsoft warnt vor manipulierten Office-Dokumenten

Microsoft-Sicherheitsforscher entdeckten die Schwachstelle mit manipulierten Office-Dokumenten, die auf Windows-Systemen aktiv ausgenutzt wird, im August. Das Patch Tuesday-Update dieser Woche enthielt einen Patch für den bisher unbekannten Fehler, der als CVE-2021-40444 geführt wird.

Die Angriffe waren nicht weit verbreitet und die Sicherheitslücke wurde als Teil eines frühen Angriffs genutzt, bei dem benutzerdefinierte Cobalt Strike Beacon Loader verteilt wurden. Cobalt Strike ist ein Tool für Penetrationstests.

Laut Microsofts Analyse der Angriffe waren die Loader nicht das Werk staatlich gesponserter Hacker, sondern kommunizierten mit einer Infrastruktur, die mit verschiedenen cyberkriminellen Kampagnen in Verbindung gebracht wird, darunter auch Ransomware.

Die Social-Engineering-Köder, die bei einigen der Angriffe verwendet wurden, lassen auf ein Element der gezielten Ansprache schließen, so Microsoft: Die Kampagne gab vor, einen Entwickler für eine mobile Anwendung zu suchen, wobei mehrere Anwendungsentwicklungsorganisationen ins Visier genommen wurden.

Mindestens ein Unternehmen, das durch diese Kampagne erfolgreich kompromittiert wurde, war zuvor durch eine Welle ähnlich gelagerter Malware kompromittiert worden, so Microsoft. In einer späteren Angriffswelle wurde jedoch nicht mehr auf Anwendungsentwickler abgezielt, sondern es wurde mit einem Bagatellverfahren gedroht.

Die Angreifer nutzten in diesem Fall die Schwachstelle in der IE-Rendering-Engine, um ein bösartiges ActiveX-Steuerelement über ein Office-Dokument zu laden.

Obwohl die Angreifer Zugang zu den betroffenen Geräten erhielten, verließen sie sich darauf, Anmeldeinformationen zu stehlen und sich seitlich im Netzwerk zu bewegen, um das gesamte Unternehmen zu schädigen. Microsoft empfiehlt seinen Kunden, den Patch vom Dienstag zu installieren, um die Schwachstelle vollständig zu beheben, empfiehlt aber auch, das Netzwerk zu härten, wichtige Anmeldeinformationen zu bereinigen und Maßnahmen zu ergreifen, um seitliche Bewegungen zu verhindern.

Microsoft betrachtet diesen Angriff als das Werk eines aufstrebenden oder sich entwickelnden Bedrohungsakteurs und verfolgt die Verwendung der Cobalt Strike-Infrastruktur als DEV-0365. Sie scheint von einem einzigen Betreiber betrieben zu werden. Microsoft geht jedoch davon aus, dass Folgeaktivitäten, wie zum Beispiel die Conti-Ransomware, durchgeführt wurden. Der Software-Riese vermutet, dass es sich um eine Befehls- und Kontrollinfrastruktur handeln könnte, die als Service an andere Cyberkriminelle verkauft wird.

Einige der Infrastrukturen, die die oleObjects gehostet haben, die bei den Angriffen im August 2021 unter Ausnutzung von CVE-2021-40444 verwendet wurden, waren auch an der Bereitstellung von BazaLoader- und Trickbot-Nutzlasten beteiligt – Aktivitäten, die sich mit einer Gruppe überschneiden, die Microsoft als DEV-0193 verfolgt. Die Aktivitäten von DEV-0193 überschneiden sich mit Aktionen, die von Mandiant als UNC1878 verfolgt werden, so Microsoft.

Die BazaLoader-Malware wurde von böswilligen Callcenter-Betreibern eingesetzt, die mit Hilfe von Social Engineering die Zielpersonen dazu bringen, Betreiber anzurufen, die versuchen, die Opfer zur freiwilligen Installation von Malware zu bewegen. Die Gruppen verwenden keine bösartigen Links in den E-Mails, die an die Zielpersonen geschickt werden, und umgehen so die üblichen E-Mail-Filterregeln.

Jakob Jung

Recent Posts

Durchgesickerte Daten: Twitch dementiert Verlust von Passwörtern

Die Angreifer haben offenbar keinen Zugriff auf die Systeme zur Speicherung von Anmeldedaten. Laut Twitch…

10 Stunden ago

Botnet MyKings nimmt mit Kryptomining fast 25 Millionen Dollar ein

Avast findet die Malware seit Anfang 2020 auf 144.000 Computern. MyKings nutzt die Rechenleistung von…

11 Stunden ago

So wehren Formel-1-Teams Cyberangriffe ab

Die Formel 1 ist ein hochkarätiger Hightech-Sport, der die Aufmerksamkeit von Cyber-Kriminellen und Hackern auf…

16 Stunden ago

Ransomware macht 5,2 Milliarden Dollar an Bitcoin-Transaktionen aus

Das US-Finanzministerium meldet, dass 5,2 Milliarden Dollar an Bitcoin-Transaktionen (BTC) im Zusammenhang mit den 10…

17 Stunden ago

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

5 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

5 Tagen ago