VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

MalwareUnit 42, das Anti-Malware-Team von Palo Alto Networks, hat mehrere „bewaffnete“ Dokumente entdeckt, die eine Taktik verwenden, die zuvor bei der Sofacy-Gruppe noch nicht beobachtet wurde. Es geht dabei um die „Bewaffnung“ von Dokumenten mit Malware, um mit Hilfe von Flash-Dateien Schwachstellen in Microsoft Word auszunutzen.

In diesem Fall wurden RTF-Dokumente entdeckt, die eingebettete OLE-Word-Dokumente und außerdem Adobe-Flash-Dateien (.swf) enthielten. Die Angreifer zielten aber offenbar eher auf Schwachstellen in Flash als in Microsoft Word. Die Unit-42-Forscher haben das Tool, das diese Dokumente erzeugt, den Namen „DealersChoice“ gegeben.

Zusätzlich zur Entdeckung dieser neuen Taktik waren Unit 42 in der Lage, zwei verschiedene Varianten der eingebetteten SWF-Dateien zu identifizieren: Die erste davon ist eine eigenständige Version mit einer komprimierten Nutzlast, die DealersChoice.A benannt wurde. Die zweite Variante, DealersChoice.B, ist viel modularer aufgebaut und enthält zusätzliche Anti-Analyse-Techniken.

Die Verfügbarkeit von Daten zu den Angriffszielen der Sofacy-Gruppe war bislang begrenzt. Die Forscher waren dennoch in der Lage, einige Angriffsziele zu identifizieren. Basierend auf der Telemetrie von Palo Alto Networks fanden demnach die Angriffe, bei denen DealersChoice-Dokumente ausgeliefert wurden, im August 2016 statt. Sie konzentrierten sich hauptsächlich auf Organisationen in Ländern, die Teil der ehemaligen Sowjetrepublik waren. So wurden die bösartigen Dokumente unter anderem an einen ukrainischen Verteidigungsunternehmer sowie ein Außenministerium eines Nationalstaates in derselben Region übermittelt, in beiden Fällen mittels Phishing-Angriffen. Es ist erwähnenswert, dass die US-Regierung viele der gleichen Kompromittierungsindikatoren kürzlich ebenfalls Aktivitäten in Russland zugeordnet hat. Sofacy, auch bekannt als APT 28, ist eine Gruppe, die seit längerem gemeinhin Akteuren in Russland zugeschrieben wird.

DealersChoice ist somit eine Exploit-Plattform, die es der Sofacy-Gruppe ermöglicht, Schwachstellen in Adobe Flash auszunutzen. Ebenso klar ist, dass Cross-Plattform-Exploits einen Fokus für Sofacy darstellen. So ist in DealersChoice ein Check-Prozess enthalten, um das Betriebssystem des Zielsystems zu ermitteln. Die Entdeckung des Komplex-OSX-Trojaners kürzlich, deutet darauf hin, dass diese Gruppe in der Lage ist, sowohl in Windows- als auch in Apple-Umgebungen zu operieren. Die Analyse von DealersChoice hat auch zur Entdeckung einer möglicherweise mehrschichtigen Infrastruktur geführt, die transparente Proxys nutzt, um den wahren Standort der Sofacy-C2-Server zu verbergen.

 www.paloaltonetworks.com/sofacy-flash-player

GRID LIST
Hacker im Visir

Drittanbieter-Software im Fokus von Hackern – was können MSP tun?

Der traditionelle Ansatz der IT lautet: Wenn dein Betriebssystem gepatcht ist, dann ist…
KI Security

Falsche Abwehrstrategie zwingt die IT-Sicherheitsbranche in Aufrüstspirale

Anbieter von Sicherheitssoftware vermarkten den Einsatz von KI in ihren Produkten als…
Tb W190 H80 Crop Int E6b1eed76833e40b6dff0a1070b0694f

Cyber-Kriminelle nutzen Fake-App für Malware

Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des…
Tb W190 H80 Crop Int Db461ec563234e57f2cba9109df3ec5f

Kryptowährungen im Überblick

Seit 2010 ist der Vormarsch der sogenannten Kryptowährungen nicht mehr aufzuhalten. Dabei…
Ransomware Lösegeld

Ransomware: Warnung vor Lösegeldzahlung

Cyberkriminelle „kidnappen“ Daten und Computer von Organisationen und Einzelpersonen. Der…
Tb W190 H80 Crop Int C47c64413dabc5f83c8af1202d07c3d8

Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security