Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

MalwareUnit 42, das Anti-Malware-Team von Palo Alto Networks, hat mehrere „bewaffnete“ Dokumente entdeckt, die eine Taktik verwenden, die zuvor bei der Sofacy-Gruppe noch nicht beobachtet wurde. Es geht dabei um die „Bewaffnung“ von Dokumenten mit Malware, um mit Hilfe von Flash-Dateien Schwachstellen in Microsoft Word auszunutzen.

In diesem Fall wurden RTF-Dokumente entdeckt, die eingebettete OLE-Word-Dokumente und außerdem Adobe-Flash-Dateien (.swf) enthielten. Die Angreifer zielten aber offenbar eher auf Schwachstellen in Flash als in Microsoft Word. Die Unit-42-Forscher haben das Tool, das diese Dokumente erzeugt, den Namen „DealersChoice“ gegeben.

Zusätzlich zur Entdeckung dieser neuen Taktik waren Unit 42 in der Lage, zwei verschiedene Varianten der eingebetteten SWF-Dateien zu identifizieren: Die erste davon ist eine eigenständige Version mit einer komprimierten Nutzlast, die DealersChoice.A benannt wurde. Die zweite Variante, DealersChoice.B, ist viel modularer aufgebaut und enthält zusätzliche Anti-Analyse-Techniken.

Die Verfügbarkeit von Daten zu den Angriffszielen der Sofacy-Gruppe war bislang begrenzt. Die Forscher waren dennoch in der Lage, einige Angriffsziele zu identifizieren. Basierend auf der Telemetrie von Palo Alto Networks fanden demnach die Angriffe, bei denen DealersChoice-Dokumente ausgeliefert wurden, im August 2016 statt. Sie konzentrierten sich hauptsächlich auf Organisationen in Ländern, die Teil der ehemaligen Sowjetrepublik waren. So wurden die bösartigen Dokumente unter anderem an einen ukrainischen Verteidigungsunternehmer sowie ein Außenministerium eines Nationalstaates in derselben Region übermittelt, in beiden Fällen mittels Phishing-Angriffen. Es ist erwähnenswert, dass die US-Regierung viele der gleichen Kompromittierungsindikatoren kürzlich ebenfalls Aktivitäten in Russland zugeordnet hat. Sofacy, auch bekannt als APT 28, ist eine Gruppe, die seit längerem gemeinhin Akteuren in Russland zugeschrieben wird.

DealersChoice ist somit eine Exploit-Plattform, die es der Sofacy-Gruppe ermöglicht, Schwachstellen in Adobe Flash auszunutzen. Ebenso klar ist, dass Cross-Plattform-Exploits einen Fokus für Sofacy darstellen. So ist in DealersChoice ein Check-Prozess enthalten, um das Betriebssystem des Zielsystems zu ermitteln. Die Entdeckung des Komplex-OSX-Trojaners kürzlich, deutet darauf hin, dass diese Gruppe in der Lage ist, sowohl in Windows- als auch in Apple-Umgebungen zu operieren. Die Analyse von DealersChoice hat auch zur Entdeckung einer möglicherweise mehrschichtigen Infrastruktur geführt, die transparente Proxys nutzt, um den wahren Standort der Sofacy-C2-Server zu verbergen.

 www.paloaltonetworks.com/sofacy-flash-player

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security