Operation RussianDoll

Zero-Day-Angriffe auf Adobe Flash und Windows

| Redakteur: Stephan Augsten

Im Rahmen der „Operation RussianDoll“ vrsuchen Cyber-Kriminelle, hinterhältigen Payload an anfällige Rechner auszuliefern.
Im Rahmen der „Operation RussianDoll“ vrsuchen Cyber-Kriminelle, hinterhältigen Payload an anfällige Rechner auszuliefern. ( © Ezio Gutzemberg - Fotolia)

Schwachstellen im Adobe Flash Player und in Windows werden derzeit im Rahmen eines Advanced Persistent Threat (APT) ausgenutzt. Die fortschrittliche, langanhaltende Bedrohung wurde vom Sicherheitsexperten FireEye analysiert und unter dem Titel „Operation RussianDoll“ geführt.

Angesichts der verschachtelten Angriffe, mit denen die russische Cyber-Bande APT28 aktuell vorgeht, liegt der Vergleich mit der Matrjoschka-Puppe nahe. Dementsprechend hat FireEye die Kampagne „Operation Russion Doll“ getauft. Die Angriffe richten sich offenbar gegen eine staatliche Einrichtung.

Eine Attacke beginnt damit, dass der Anwender per Link auf eine Webseite gelockt wird. Hier finden sich HTML- und JavaScript-Komponenten, die den Flash-Exploit auslösen. Dieser zielt auf die Schwachstelle CVE-2015-3043 ab und führt einen Shellcode aus, wodurch weiterer Schadcode heruntergeladen wird.

Die erwähnte Schwachstelle wurde am 14. April 2015 von Adobe geschlossen. Trotzdem sind etliche Kompromittierungen aus zwei Gründen wahrscheinlich. Zum einen wird das Angriffsmuster bereits seit dem 13. April verwendet, zum anderen stoßen viele Anwender ein Flash-Update nicht sofort an.

Der heruntergeladene Payload richtet sich gegen eine weitere Zero-Day-Schwachstelle, die sich allerdings in Windows findet und bisher noch nicht gepatcht wurde. Dieser zweite Exploit hebt die Berechtigungen des aktuell angemeldeten Nutzers an und eignet sich auf Basis dieser „Privilege Escalation“ den Status eines Systemprozesses an.

Microsoft arbeitet bereits an einem Patch für die Schwachstelle mit der Kennung CVE-2015-1701. Hervorzuheben ist, dass sich diese Lücke momentan nur so lange ausnutzen lässt, wie auch die Adobe-Schwachstelle offen steht. Prinzipiell sind allerdings auch andere Einfallstore denkbar.

Bereits im Oktober 2014 hat FireEye eine umfassenden Bericht zu Langzeit-Operationen von APT28 veröffentlicht, die sich auf das Sammeln geheimer Informationen konzentriert, die vor allem für Regierungen von großem Nutzen sein könnten. Seit mindestens 2007, so die Beobachtungen von FireEye, hat die Gruppierung APT28 Informationen zu Regierungen, Militärs und Sicherheitsorganisationen ins Visier genommen, die für die russische Regierung von besonderem Interesse sein dürften.

Die detaillierte Angriffskette inklusive der Malware-Indikatoren und Code-Analysen findet sich im Blog-Eintrag „Operation RussianDoll“ von FireEye.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43333962 / Schwachstellen-Management)