Pawn Storm: Hacker weiten Angriffe auf Zero-Day-Lücke in Windows aus

Trend Micro weist darauf hin, dass die Hackergruppe Pawn Storm seit Ende Oktober ihre Spear-Phishing-Kampagnen ausweitet. Die auch unter den Namen Fancy Bear, APT28, Sofacy und Strontium bekannte Gruppe reagiert damit nach Ansicht der Sicherheitsforscher auf die Offenlegung der von ihr zuletzt genutzten Zero-Day-Lücken in Adobe Flash Player und Windows.

Adobe hatte am 26. Oktober einen Notfallpatch für Flash Player veröffentlicht, der die von Google-Forschern entdeckte Schwachstelle mit der Kennung CVE-2016-7855 schließt. Sie kombinieren die Hacker mit einer Zero-Day-Lücke in Windows (CVE-2016-7255), die Googles Project Zero am 31. Oktober öffentlich machte. Microsoft verteilt seit Dienstag ein Sicherheitsupdate für diese Anfälligkeit.

„Nach dem Fix für CVE-2016-7855 in Adobe Flash hat Pawn Storm die beiden Zero-Day-Lücken in seinem Portfolio wahrscheinlich abgewertet“, kommentiert Trend Micro. „Statt sie nur gegen besonders wichtige Ziele einzusetzen, haben sie begonnen, deutlich mehr Ziele den Anfälligkeiten auszusetzen. Wir haben seit 28. Oktober mehrere Kampagnen gegen immer noch hochrangige Ziele beobachtet.“

Anfang November verschickten die Hacker E-Mails mit dem Betreff „Stellungnahme des Europaparlaments zur nuklearen Bedrohung“ an Regierungen weltweit. Als Absender gaukelten sie einen EU-Sprecher vor. Ein eingebetteter Link führte zudem zu einem von Pawn Storm verwendeten Exploit Kit.

Das Exploit Kit wiederum sammelte per JavaScript Informationen über das verwendete Betriebssystem, die Zeitzone, installierte Browser-Plug-ins und Spracheinstellungen. Erst danach lieferte es unter Umständen den eigentlichen Exploit aus, und zwar bevorzugt an Nutzer von Windows Vista und Windows 7 mit Internet Explorer, die den Notfall-Patch von Adobe nicht installiert hatten.

Eine andere Kampagne habe mit Spear-Phishing-E-Mails Botschaften und Regierungsbehörden ins Visier genommen, so Trend Micro weiter. Einige dieser Nachrichten seien als Einladung für eine Sicherheitskonferenz getarnt worden, die tatsächlich im November stattfindet. In die angehängte Word-Datei mit dem echten Programm der Konferenz hätten die Hacker eine Flash-Datei eingebaut, die einen Exploit für CVE-2016-7855 enthielt.

„Im Zeitraum zwischen der Entdeckung der Zero-Day-Lücken und der Veröffentlichung der Patches von Adobe und Microsoft am 26. Oktober und 8. November wurden neben diesen beiden Kampagnen weitere gestartet“, ergänzte Trend Micro. „Das zeigt, dass Pawn Storm ihre Angriffe unverzüglich nach Adobes Patch ausgebaut haben. Wahrscheinlich waren nicht alle Organisationen in der Lage, Adobe Flash sofort zu patchen, und die Windows-Anfälligkeit wurde erst am 8. November beseitigt.“ Nutzer fordert Trend Micro auf, ihr Windows-Betriebssystem und auch – falls vorhanden – Adobes Flash Player sofort zu aktualisieren.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.