Anzeige

Cybercrime

Die Cybersecurity-Experten von Proofpoint waren kürzlich in der Lage, eine neue, von Cyberkriminellen genutzte Angriffstechnik in puncto Phishing zu enttarnen. Bei der sogenannten „RTF Template Injection“ werden mittels einer RTF-Datei gefährliche Inhalte von einer externen URL nachgeladen. 

Im Vergleich mit bisher bekannten Phishing-Techniken auf Basis von Dateianhängen weisen gängige Antivirenprogramme derzeit noch eine geringe Erkennungsrate gegenüber der RTF Template Injection auf. Die Sicherheitsforscher haben zudem bereits mehrere Phishing-Kampagnen verschiedener Hackergruppen identifiziert, bei denen im zweiten und dritten Quartal dieses Jahres die neue Angriffstechnik verwendet wurde. 

Schon seit geraumer Zeit machen sich Cyberkriminelle präparierte Office-Dokumente als Dateianhänge zunutze, um ihre Opfer in die Falle zu locken. Dabei handelt es sich üblicherweise jedoch um Word- oder Excel-Dokumente, die mit Hilfe von Makros Malware auf den Systemen der Nutzer installieren. Nun haben die Security-Experten von Proofpoint jedoch mit RTF Template Injection eine neue Technik krimineller Hacker aufgedeckt, bei denen sie eine Schwachstelle im proprietären Rich-Text-Dateiformat (RTF) in ihrem Sinne nutzen.  

Durch Änderung der Formatierungseigenschaften einer RTF-Datei, genauer gesagt des Control Words für die Template-Struktur (\*\template), wird das Dokument von den Angreifern so manipuliert, dass dieses beim Öffnen Inhalte einer externen URL nachlädt, anstatt auf eine Datei-Ressource zurückzugreifen. Anders als bei bisher dokumentierten Angriffstechniken, bei denen RTF-Dateien verwendet wurden, handelt es sich bei der nun entdeckten Vorgehensweise um eine vergleichsweise einfache Technik, um Malware zu verbreiten. Zuweilen ist diese aus Sicht der Cyberkriminellen auch effektiver als die zuvor genutzten Techniken. 

Mehrere cyberkriminelle Gruppen nutzen die neue Technik bereits 

Die RTF-Template-Injection-Attacken, die bis 8. Juli dieses Jahres identifiziert wurden, konnten zunächst nur der Hackergruppe DoNot Team zugeordnet werden. Indizien weisen darauf hin, dass die Aktivitäten dieser Gruppe eine Verbindung zu den Interessen des indischen Staates aufweisen. Mutmaßlich mit einer chinesischen Gruppe Cyberkrimineller in Verbindung stehender RTF-Dateien, die bei Angriffen zum Einsatz kamen, wurden am 29. September 2021 erstmals beobachtet. Diese Angriffe zielten auf Unternehmen ab, die in Verbindung zu den malaysischen Bemühungen stehen, den Meeresboden nach Rohstoffen abzusuchen. 

Im Anschluss an diese erste Phase der Verwendung von RTF Template Injection kam noch eine weitere Gruppe Cyberkrimineller hinzu, die sich diese Taktik zu eigen machte. Dabei handelt es sich um die Gruppe Gamaredon, die mit dem russischen Sicherheitsdienst (FSB) in Verbindung gebracht wird. Am 5. Oktober 2021 konnte diese Gruppe dabei beobachtet werden, wie sie RTF Template Injection bei Kampagnen verwendete, die Stellen der ukrainischen Regierung zum Ziel hatten. 

www.proofpoint.com/de  


Artikel zu diesem Thema

Phishing
Nov 30, 2021

Wenn Cyberkriminelle über neue Kanäle phischen

Unternehmen waren noch nie so verwundbar wie heute. So hat der weit verbreitete Umzug ins…
Cyberangriff
Okt 07, 2021

Aggressive Ransomware-Taktiken und Passwort-Diebstahl

Der IT-Sicherheitshersteller ESET hat seinen zweiten "Threat Report 2021" (T2/2021)…

Weitere Artikel

Ukraine Hack

Der Angriff und das Defacement von Webseiten der ukrainischen Regierung

Am Freitagmorgen wurden mehrere Webseiten der ukrainischen Regierung und Botschaft angegriffen. Im Folgenden finden Sie einen Kommentar von John Hultquist, Vice President, Intelligence Analysis bei Mandiant, zu diesem Vorfall.
Cyberangriff

Noch vor Pandemie: Cyberangriffe die größte Gefahr für Unternehmen

Manager und Sicherheitsfachleute weltweit sehen in Cyberangriffen die größte Gefahr für Unternehmen. Im am Dienstag veröffentlichten «Risikobarometer» des zur Allianz gehörenden Industrieversicherers AGCS liegen kriminelle Hacker mit ihren Aktivitäten auf…
Windows

Über 3 Millionen unsichere Windows-PCs am Netz

In deutschen Haushalten gibt es rund 48 Millionen Computer, die mit dem Betriebssystem Windows laufen. Die Corona-Pandemie hat dazu geführt, dass Privatnutzer ihre Altgeräte erneuert und sogar mehr Geräte gekauft haben.
Corona Hacker

Dridex-Malware: Geschmacklose Omikron Phishing-Kampagne

„Eine bösartige Phishing-Kampagne verhöhnt die Opfer, nachdem sie ihre Geräte mit Dridex-Malware infiziert“, so Lawrence Abrams von BleepingComputer.
Malware

Malware-Downloads erfolgten im Jahr 2021 meist über Cloud-Apps

Mehr als zwei Drittel der Malware-Downloads im Jahr 2021 stammen von Cloud-Apps. Google Drive wurde dabei als die App mit den meisten Malware-Downloads identifiziert und löst damit Microsoft OneDrive ab.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.