Anzeige

Anzeige

VERANSTALTUNGEN

Blockchain Summit
26.03.19 - 26.03.19
In Frankfurt, Kap Europa

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

ACMP Competence Days München
10.04.19 - 10.04.19
In Jochen Schweizer Arena GmbH, Taufkirchen bei München

Anzeige

Anzeige

MalwareUnit 42, das Anti-Malware-Team von Palo Alto Networks, hat mehrere „bewaffnete“ Dokumente entdeckt, die eine Taktik verwenden, die zuvor bei der Sofacy-Gruppe noch nicht beobachtet wurde. Es geht dabei um die „Bewaffnung“ von Dokumenten mit Malware, um mit Hilfe von Flash-Dateien Schwachstellen in Microsoft Word auszunutzen.

In diesem Fall wurden RTF-Dokumente entdeckt, die eingebettete OLE-Word-Dokumente und außerdem Adobe-Flash-Dateien (.swf) enthielten. Die Angreifer zielten aber offenbar eher auf Schwachstellen in Flash als in Microsoft Word. Die Unit-42-Forscher haben das Tool, das diese Dokumente erzeugt, den Namen „DealersChoice“ gegeben.

Zusätzlich zur Entdeckung dieser neuen Taktik waren Unit 42 in der Lage, zwei verschiedene Varianten der eingebetteten SWF-Dateien zu identifizieren: Die erste davon ist eine eigenständige Version mit einer komprimierten Nutzlast, die DealersChoice.A benannt wurde. Die zweite Variante, DealersChoice.B, ist viel modularer aufgebaut und enthält zusätzliche Anti-Analyse-Techniken.

Die Verfügbarkeit von Daten zu den Angriffszielen der Sofacy-Gruppe war bislang begrenzt. Die Forscher waren dennoch in der Lage, einige Angriffsziele zu identifizieren. Basierend auf der Telemetrie von Palo Alto Networks fanden demnach die Angriffe, bei denen DealersChoice-Dokumente ausgeliefert wurden, im August 2016 statt. Sie konzentrierten sich hauptsächlich auf Organisationen in Ländern, die Teil der ehemaligen Sowjetrepublik waren. So wurden die bösartigen Dokumente unter anderem an einen ukrainischen Verteidigungsunternehmer sowie ein Außenministerium eines Nationalstaates in derselben Region übermittelt, in beiden Fällen mittels Phishing-Angriffen. Es ist erwähnenswert, dass die US-Regierung viele der gleichen Kompromittierungsindikatoren kürzlich ebenfalls Aktivitäten in Russland zugeordnet hat. Sofacy, auch bekannt als APT 28, ist eine Gruppe, die seit längerem gemeinhin Akteuren in Russland zugeschrieben wird.

DealersChoice ist somit eine Exploit-Plattform, die es der Sofacy-Gruppe ermöglicht, Schwachstellen in Adobe Flash auszunutzen. Ebenso klar ist, dass Cross-Plattform-Exploits einen Fokus für Sofacy darstellen. So ist in DealersChoice ein Check-Prozess enthalten, um das Betriebssystem des Zielsystems zu ermitteln. Die Entdeckung des Komplex-OSX-Trojaners kürzlich, deutet darauf hin, dass diese Gruppe in der Lage ist, sowohl in Windows- als auch in Apple-Umgebungen zu operieren. Die Analyse von DealersChoice hat auch zur Entdeckung einer möglicherweise mehrschichtigen Infrastruktur geführt, die transparente Proxys nutzt, um den wahren Standort der Sofacy-C2-Server zu verbergen.

 www.paloaltonetworks.com/sofacy-flash-player

GRID LIST
Stop Hacker

Firmen müssen Hackerabwehr neu denken

Tagtäglich sind Unternehmen das Ziel von Cyberattacken. Per Schadsoftware und über…
Bank

IT-Security: Sichere Kommunikation mit der Bank

Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt…
Trojaner

Trojaner Emotet gefährlicher denn je

Die Gefahr, die von dem Trojaner Emotet ausgeht, ist noch nicht vorüber. Ganz im…
Tb W190 H80 Crop Int 435a88a9a5029a89779cc54837f4d636

Neue Adware-Kampagne: 150 Millionen Nutzer von ‚SimBad‘ betroffen

Die Sicherheitsforscher von Check Point Software Technologies Ltd. (NASDAQ: CHKP) haben…
Schwachstelle

Microsoft-Office-Schwachstelle ist Einfallstor für Cyber-Angriffe

Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung…
Putzfrau

Zeit für den Frühjahrsputz in den digitalen vier Wänden

Wenn der warme Frühling kommt, nutzen viele Menschen die Zeit zum Großreinemachen. So ein…