Microsoft warnt vor manipulierten Office-Dokumenten

Microsoft-Sicherheitsforscher entdeckten die Schwachstelle mit manipulierten Office-Dokumenten, die auf Windows-Systemen aktiv ausgenutzt wird, im August. Das Patch Tuesday-Update dieser Woche enthielt einen Patch für den bisher unbekannten Fehler, der als CVE-2021-40444 geführt wird.

Die Angriffe waren nicht weit verbreitet und die Sicherheitslücke wurde als Teil eines frühen Angriffs genutzt, bei dem benutzerdefinierte Cobalt Strike Beacon Loader verteilt wurden. Cobalt Strike ist ein Tool für Penetrationstests.

Laut Microsofts Analyse der Angriffe waren die Loader nicht das Werk staatlich gesponserter Hacker, sondern kommunizierten mit einer Infrastruktur, die mit verschiedenen cyberkriminellen Kampagnen in Verbindung gebracht wird, darunter auch Ransomware.

Die Social-Engineering-Köder, die bei einigen der Angriffe verwendet wurden, lassen auf ein Element der gezielten Ansprache schließen, so Microsoft: Die Kampagne gab vor, einen Entwickler für eine mobile Anwendung zu suchen, wobei mehrere Anwendungsentwicklungsorganisationen ins Visier genommen wurden.

Mindestens ein Unternehmen, das durch diese Kampagne erfolgreich kompromittiert wurde, war zuvor durch eine Welle ähnlich gelagerter Malware kompromittiert worden, so Microsoft. In einer späteren Angriffswelle wurde jedoch nicht mehr auf Anwendungsentwickler abgezielt, sondern es wurde mit einem Bagatellverfahren gedroht.

Die Angreifer nutzten in diesem Fall die Schwachstelle in der IE-Rendering-Engine, um ein bösartiges ActiveX-Steuerelement über ein Office-Dokument zu laden.

Obwohl die Angreifer Zugang zu den betroffenen Geräten erhielten, verließen sie sich darauf, Anmeldeinformationen zu stehlen und sich seitlich im Netzwerk zu bewegen, um das gesamte Unternehmen zu schädigen. Microsoft empfiehlt seinen Kunden, den Patch vom Dienstag zu installieren, um die Schwachstelle vollständig zu beheben, empfiehlt aber auch, das Netzwerk zu härten, wichtige Anmeldeinformationen zu bereinigen und Maßnahmen zu ergreifen, um seitliche Bewegungen zu verhindern.

Microsoft betrachtet diesen Angriff als das Werk eines aufstrebenden oder sich entwickelnden Bedrohungsakteurs und verfolgt die Verwendung der Cobalt Strike-Infrastruktur als DEV-0365. Sie scheint von einem einzigen Betreiber betrieben zu werden. Microsoft geht jedoch davon aus, dass Folgeaktivitäten, wie zum Beispiel die Conti-Ransomware, durchgeführt wurden. Der Software-Riese vermutet, dass es sich um eine Befehls- und Kontrollinfrastruktur handeln könnte, die als Service an andere Cyberkriminelle verkauft wird.

Einige der Infrastrukturen, die die oleObjects gehostet haben, die bei den Angriffen im August 2021 unter Ausnutzung von CVE-2021-40444 verwendet wurden, waren auch an der Bereitstellung von BazaLoader- und Trickbot-Nutzlasten beteiligt – Aktivitäten, die sich mit einer Gruppe überschneiden, die Microsoft als DEV-0193 verfolgt. Die Aktivitäten von DEV-0193 überschneiden sich mit Aktionen, die von Mandiant als UNC1878 verfolgt werden, so Microsoft.

Die BazaLoader-Malware wurde von böswilligen Callcenter-Betreibern eingesetzt, die mit Hilfe von Social Engineering die Zielpersonen dazu bringen, Betreiber anzurufen, die versuchen, die Opfer zur freiwilligen Installation von Malware zu bewegen. Die Gruppen verwenden keine bösartigen Links in den E-Mails, die an die Zielpersonen geschickt werden, und umgehen so die üblichen E-Mail-Filterregeln.