Microsoft warnt vor manipulierten Office-Dokumenten

Microsoft-Sicherheitsforscher entdeckten die Schwachstelle mit manipulierten Office-Dokumenten, die auf Windows-Systemen aktiv ausgenutzt wird, im August. Das Patch Tuesday-Update dieser Woche enthielt einen Patch für den bisher unbekannten Fehler, der als CVE-2021-40444 geführt wird.

Die Angriffe waren nicht weit verbreitet und die Sicherheitslücke wurde als Teil eines frühen Angriffs genutzt, bei dem benutzerdefinierte Cobalt Strike Beacon Loader verteilt wurden. Cobalt Strike ist ein Tool für Penetrationstests.

Laut Microsofts Analyse der Angriffe waren die Loader nicht das Werk staatlich gesponserter Hacker, sondern kommunizierten mit einer Infrastruktur, die mit verschiedenen cyberkriminellen Kampagnen in Verbindung gebracht wird, darunter auch Ransomware.

Die Social-Engineering-Köder, die bei einigen der Angriffe verwendet wurden, lassen auf ein Element der gezielten Ansprache schließen, so Microsoft: Die Kampagne gab vor, einen Entwickler für eine mobile Anwendung zu suchen, wobei mehrere Anwendungsentwicklungsorganisationen ins Visier genommen wurden.

Mindestens ein Unternehmen, das durch diese Kampagne erfolgreich kompromittiert wurde, war zuvor durch eine Welle ähnlich gelagerter Malware kompromittiert worden, so Microsoft. In einer späteren Angriffswelle wurde jedoch nicht mehr auf Anwendungsentwickler abgezielt, sondern es wurde mit einem Bagatellverfahren gedroht.

Die Angreifer nutzten in diesem Fall die Schwachstelle in der IE-Rendering-Engine, um ein bösartiges ActiveX-Steuerelement über ein Office-Dokument zu laden.

Obwohl die Angreifer Zugang zu den betroffenen Geräten erhielten, verließen sie sich darauf, Anmeldeinformationen zu stehlen und sich seitlich im Netzwerk zu bewegen, um das gesamte Unternehmen zu schädigen. Microsoft empfiehlt seinen Kunden, den Patch vom Dienstag zu installieren, um die Schwachstelle vollständig zu beheben, empfiehlt aber auch, das Netzwerk zu härten, wichtige Anmeldeinformationen zu bereinigen und Maßnahmen zu ergreifen, um seitliche Bewegungen zu verhindern.

Microsoft betrachtet diesen Angriff als das Werk eines aufstrebenden oder sich entwickelnden Bedrohungsakteurs und verfolgt die Verwendung der Cobalt Strike-Infrastruktur als DEV-0365. Sie scheint von einem einzigen Betreiber betrieben zu werden. Microsoft geht jedoch davon aus, dass Folgeaktivitäten, wie zum Beispiel die Conti-Ransomware, durchgeführt wurden. Der Software-Riese vermutet, dass es sich um eine Befehls- und Kontrollinfrastruktur handeln könnte, die als Service an andere Cyberkriminelle verkauft wird.

Einige der Infrastrukturen, die die oleObjects gehostet haben, die bei den Angriffen im August 2021 unter Ausnutzung von CVE-2021-40444 verwendet wurden, waren auch an der Bereitstellung von BazaLoader- und Trickbot-Nutzlasten beteiligt – Aktivitäten, die sich mit einer Gruppe überschneiden, die Microsoft als DEV-0193 verfolgt. Die Aktivitäten von DEV-0193 überschneiden sich mit Aktionen, die von Mandiant als UNC1878 verfolgt werden, so Microsoft.

Die BazaLoader-Malware wurde von böswilligen Callcenter-Betreibern eingesetzt, die mit Hilfe von Social Engineering die Zielpersonen dazu bringen, Betreiber anzurufen, die versuchen, die Opfer zur freiwilligen Installation von Malware zu bewegen. Die Gruppen verwenden keine bösartigen Links in den E-Mails, die an die Zielpersonen geschickt werden, und umgehen so die üblichen E-Mail-Filterregeln.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago