Die Cybersecurity-Experten von Proofpoint waren kürzlich in der Lage, eine neue, von Cyberkriminellen genutzte Angriffstechnik in puncto Phishing zu enttarnen. Bei der sogenannten „RTF Template Injection“ werden mittels einer RTF-Datei gefährliche Inhalte von einer externen URL nachgeladen.
Im Vergleich mit bisher bekannten Phishing-Techniken auf Basis von Dateianhängen weisen gängige Antivirenprogramme derzeit noch eine geringe Erkennungsrate gegenüber der RTF Template Injection auf. Die Sicherheitsforscher haben zudem bereits mehrere Phishing-Kampagnen verschiedener Hackergruppen identifiziert, bei denen im zweiten und dritten Quartal dieses Jahres die neue Angriffstechnik verwendet wurde.
Schon seit geraumer Zeit machen sich Cyberkriminelle präparierte Office-Dokumente als Dateianhänge zunutze, um ihre Opfer in die Falle zu locken. Dabei handelt es sich üblicherweise jedoch um Word- oder Excel-Dokumente, die mit Hilfe von Makros Malware auf den Systemen der Nutzer installieren. Nun haben die Security-Experten von Proofpoint jedoch mit RTF Template Injection eine neue Technik krimineller Hacker aufgedeckt, bei denen sie eine Schwachstelle im proprietären Rich-Text-Dateiformat (RTF) in ihrem Sinne nutzen.
Durch Änderung der Formatierungseigenschaften einer RTF-Datei, genauer gesagt des Control Words für die Template-Struktur (\*\template), wird das Dokument von den Angreifern so manipuliert, dass dieses beim Öffnen Inhalte einer externen URL nachlädt, anstatt auf eine Datei-Ressource zurückzugreifen. Anders als bei bisher dokumentierten Angriffstechniken, bei denen RTF-Dateien verwendet wurden, handelt es sich bei der nun entdeckten Vorgehensweise um eine vergleichsweise einfache Technik, um Malware zu verbreiten. Zuweilen ist diese aus Sicht der Cyberkriminellen auch effektiver als die zuvor genutzten Techniken.
Mehrere cyberkriminelle Gruppen nutzen die neue Technik bereits
Die RTF-Template-Injection-Attacken, die bis 8. Juli dieses Jahres identifiziert wurden, konnten zunächst nur der Hackergruppe DoNot Team zugeordnet werden. Indizien weisen darauf hin, dass die Aktivitäten dieser Gruppe eine Verbindung zu den Interessen des indischen Staates aufweisen. Mutmaßlich mit einer chinesischen Gruppe Cyberkrimineller in Verbindung stehender RTF-Dateien, die bei Angriffen zum Einsatz kamen, wurden am 29. September 2021 erstmals beobachtet. Diese Angriffe zielten auf Unternehmen ab, die in Verbindung zu den malaysischen Bemühungen stehen, den Meeresboden nach Rohstoffen abzusuchen.
Im Anschluss an diese erste Phase der Verwendung von RTF Template Injection kam noch eine weitere Gruppe Cyberkrimineller hinzu, die sich diese Taktik zu eigen machte. Dabei handelt es sich um die Gruppe Gamaredon, die mit dem russischen Sicherheitsdienst (FSB) in Verbindung gebracht wird. Am 5. Oktober 2021 konnte diese Gruppe dabei beobachtet werden, wie sie RTF Template Injection bei Kampagnen verwendete, die Stellen der ukrainischen Regierung zum Ziel hatten.
www.proofpoint.com/de
Thought Leadership
