Neue Hacking Kampagne nutzt alte Lücken
Eine neue Hacking-Kampagne setzt auf alte Sicherheitslücken in Microsofts Office-Anwendungen, um eine Hintertür in Windows-Betriebssysteme einzurichten, Nutzer auszuspionieren und Daten zu stehlen, berichtete zdnet.de unter Berufung auf die Erkenntnisse der Forscher des Sicherheitsanbieters FireEye. Die Malware Felixroot hat vor allem Nutzer aus der Ukraine im Visier.
Die Verbreitung der Schadsoftware geschieht über Phishing-Mails. Sie ködern ihre Opfer, indem sie vorgeben, wichtige Informationen zum Thema Umweltschutz zu enthalten. FireEye vermutet deswegen, dass es sich um eine sehr zielgerichtete Kampagne handelt. Der Absender der russischsprachigen Nachrichten soll angeblich in Kasachstan sitzen. Laut den Sicherheitsforschern soll die Malware bereits im September 2017 eingesetzt worden sein, und zwar ebenfalls gegen Ziele in der Ukraine.
Die Sicherheitslücken
Bei den Office-Sicherheitslücken handelt es sich um Kennungen:
CVE-2017-0199
CVE-2017-11882
CVE-2017-0199 erlaubt die Ausführung eines Visual-Basic-Scripts, das PowerShell-Befehle enthält. Ein Opfer muss lediglich verleitet werden, ein Office-Dokument zu öffnen.
CVE-2017-11882ermöglicht es, beliebigen Schadcode auszuführen und unter Umständen sogar die vollständige Kontrolle über ein betroffenes System zu übernehmen.
Wie funktioniert Felixroot?
Dazu heißt es, ein per E-Mail verschicktes Dokument „Seminar.rtf“ nutzt die Sicherheitslücke CVE-2017-0199 aus, um weiteren Schadcode herunterzuladen. Im zweiten Schritt kommt dann CVE-2017-11882 zum Einsatz, um den Angreifern die vollständige Kontrolle über das System zu verschaffen. Die Hintertür nutzt zudem Verschlüsselung und wird direkt in den Hauptspeicher geladen – als dateilose Malware bleibt sie deshalb oft unerkannt.
Zudem wird sie vom Hauptspeicher aus erst nach einer Verzögerung von zehn Minuten aktiv. Als erstes nimmt die Schadsoftware dann Kontakt zu ihrem Befehlsserver auf und sammelt Informationen über das infizierte System wie Nutzernamen, Windows-Version, Prozessorarchitektur und Seriennummern.
Als weitere Maßnahme zum Schutz vor einer Erkennung legt Felixroot nach jeder Aktion eine Pause von einer Minute ein. Hat die Malware ihre Aufgaben erledigt, löscht sie alle Spuren ihrer Existenz.
FireEye empfiehlt Nutzern
FireEye weist in dem Zusammenhang erneut darauf hin, dass der beste Schutz vor Angriffen dieser Art die Installation von allen verfügbaren Sicherheitsupdates ist. Diese und frühere Kampagnen hätten jedoch gezeigt, dass einige Organisationen diesem Rat nicht folgen. „Trotz der Veröffentlichung von Patches werden diese Anfälligkeiten aufgrund der hohen Erfolgsquote weiterhin angegriffen“, erklärte FireEye.
Da die Ermittlungen noch nicht abgeschlossen sind, machte FireEye keine Angaben zu den Opfern oder den möglichen Hintermännern. Es scheint also, als sei die Kampagne noch aktiv!
