Hannover Messer 2018
23.04.18 - 27.04.18
In Hannover

Rethink! IT Security D/A/CH
25.04.18 - 27.04.18
In Hotel Atlantic Kempinski Hamburg

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

MalwareUnit 42, das Anti-Malware-Team von Palo Alto Networks, hat mehrere „bewaffnete“ Dokumente entdeckt, die eine Taktik verwenden, die zuvor bei der Sofacy-Gruppe noch nicht beobachtet wurde. Es geht dabei um die „Bewaffnung“ von Dokumenten mit Malware, um mit Hilfe von Flash-Dateien Schwachstellen in Microsoft Word auszunutzen.

In diesem Fall wurden RTF-Dokumente entdeckt, die eingebettete OLE-Word-Dokumente und außerdem Adobe-Flash-Dateien (.swf) enthielten. Die Angreifer zielten aber offenbar eher auf Schwachstellen in Flash als in Microsoft Word. Die Unit-42-Forscher haben das Tool, das diese Dokumente erzeugt, den Namen „DealersChoice“ gegeben.

Zusätzlich zur Entdeckung dieser neuen Taktik waren Unit 42 in der Lage, zwei verschiedene Varianten der eingebetteten SWF-Dateien zu identifizieren: Die erste davon ist eine eigenständige Version mit einer komprimierten Nutzlast, die DealersChoice.A benannt wurde. Die zweite Variante, DealersChoice.B, ist viel modularer aufgebaut und enthält zusätzliche Anti-Analyse-Techniken.

Die Verfügbarkeit von Daten zu den Angriffszielen der Sofacy-Gruppe war bislang begrenzt. Die Forscher waren dennoch in der Lage, einige Angriffsziele zu identifizieren. Basierend auf der Telemetrie von Palo Alto Networks fanden demnach die Angriffe, bei denen DealersChoice-Dokumente ausgeliefert wurden, im August 2016 statt. Sie konzentrierten sich hauptsächlich auf Organisationen in Ländern, die Teil der ehemaligen Sowjetrepublik waren. So wurden die bösartigen Dokumente unter anderem an einen ukrainischen Verteidigungsunternehmer sowie ein Außenministerium eines Nationalstaates in derselben Region übermittelt, in beiden Fällen mittels Phishing-Angriffen. Es ist erwähnenswert, dass die US-Regierung viele der gleichen Kompromittierungsindikatoren kürzlich ebenfalls Aktivitäten in Russland zugeordnet hat. Sofacy, auch bekannt als APT 28, ist eine Gruppe, die seit längerem gemeinhin Akteuren in Russland zugeschrieben wird.

DealersChoice ist somit eine Exploit-Plattform, die es der Sofacy-Gruppe ermöglicht, Schwachstellen in Adobe Flash auszunutzen. Ebenso klar ist, dass Cross-Plattform-Exploits einen Fokus für Sofacy darstellen. So ist in DealersChoice ein Check-Prozess enthalten, um das Betriebssystem des Zielsystems zu ermitteln. Die Entdeckung des Komplex-OSX-Trojaners kürzlich, deutet darauf hin, dass diese Gruppe in der Lage ist, sowohl in Windows- als auch in Apple-Umgebungen zu operieren. Die Analyse von DealersChoice hat auch zur Entdeckung einer möglicherweise mehrschichtigen Infrastruktur geführt, die transparente Proxys nutzt, um den wahren Standort der Sofacy-C2-Server zu verbergen.

 www.paloaltonetworks.com/sofacy-flash-player

GRID LIST
Paul Parker

Cybersecurity im Gesundheitswesen

Nach Ansicht von Paul Parker, Cheftechnologe des Geschäftsbereichs für Regierungsbehörden…
Tb W190 H80 Crop Int 0a77a97abba355a6171f9e666819821a

Minecraft: Spieler sind von Schadsoftware in modifizierten „Skins“ bedroht

Eine Datenanalyse der vergangenen 30 Tage von Avast ergab, dass nahezu 50.000…
Tb W190 H80 Crop Int Cb37aa6c2115131c19c11ce3765ccfaf

Linux-Update mit Spectre- und Meltdown-Absicherung

Linux-Version 4.16 ist freigegeben. Neben einer optimierten Akkulaufzeit überzeugt die…
Kryptomining

Kryptomining – des einen Gewinn, des anderen Verlust

Kryptowährungen sind derzeit in aller Munde. Doch während sich das sogenannte Schürfen,…
Tb W190 H80 Crop Int D0056b181c01db247eae98c08298b41c

Deutschlands Maschinenbauer im Visier von Cyber-Attacken

Der Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA) veröffentlichte kürzlich eine…
Georgeta Toth

Wenn Künstliche Intelligenz zur Waffe wird

Die Entwicklung der KI verstärkt die Befürchtungen, dass das menschliche Gehirn mit…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security