zurück zum Artikel

Russische Cybergang nutzt Angst vor Atomkrieg zum Unterschieben von Malware

Dirk Knop
Aufmacher FancyBear greift ukrainische Nutzer mit msdt-Malware an

(Bild: Gorodenkoff/Shutterstock.com)

Die Cybergang Fancy Bear zielt im Ukraine-Krieg auf ukrainische Bürger ab. Denen schickt sie Dokumente, die die MSDT-Schwachstelle von Microsoft missbrauchen.

Das IT-Sicherheitsunternehmen Malwarebytes berichtet von jüngst entdeckten bösartigen Dokumenten, die die MSDT-Sicherheitslücke in Windows zum Infizieren der Rechner [1] der Opfer missbrauchen. Die Quelle ist die russisch-staatliche Cybergang Fancy Bear, auch unter dem Kürzel APT28 bekannt. Die Dokumente nutzten als Social-Engineering-Köder die Angst vor einem Atomkrieg und zielten insbesondere auf potenzielle Opfer in der Ukraine.

Wie die IT-Forscher erläutern, haben sie am Montag dieser Woche ein manipuliertes Dokument namens Nuclear Terrorism A Very Real Threat.rtf entdeckt, das einerseits eine Kopie eines Artikels des Atlantic Council [2] aus dem Mai über die Bedrohung durch Russland mit Atomwaffen enthält. Zudem lädt es ein Remote-Template aus dem Netz nach, eine HTML-Datei. Die wiederum dekodiert und startet mittels JavaScript einen Powershell-Aufruf zum ms-msdt-Protokollhändler.

Bei der maliziösen Nutzlast, die die Angreifer damit herunterladen und starten, handelt es sich um eine in .Net programmierte Malware zum Ausleiten von Zugangsdaten, die in Webbrowsern hinterlegt sind. Malwarebytes schreibt in der Analyse [3], dass die Malware sowohl aus Google Chrome und Firefox, als auch aus Microsoft Edge Zugangsdaten abgreifen kann. Die dabei eingesammelten Daten liefert die Schadsoftware mittels IMAP an ihre Command-and-Control-Server aus.

Wenn die zugrundeliegende Sicherheitslücke noch nicht behoben ist, muss das Dokument zur Infektion des Rechners noch nicht einmal explizit geöffnet werden. Updates, die diesen Angriffsweg unterbinden, hat Microsoft vor einer Woche am Juni-Patchday bereitgestellt [4]. Die sind aber noch nicht auf allen Rechnern installiert: Manche Organisationen prüfen sie erst auf Kompatibilität. Andere Nutzer schicken ihren Rechner nur in den Schlafmodus, sodass die Updates entweder noch nicht heruntergeladen und installiert wurden oder aber möglicherweise noch ein Neustart aussteht. Das Dokument wurde Malwarebytes zufolge bereits am 10. Juni zusammengestellt, sodass erste Empfänger der Dokumente wahrscheinlich schutzlos waren.

Lesen Sie auch

APT28 oder auch Fancy Bear ist eine staatlich kontrollierte russische Cybergang. Die Ziele dieser Malware-Angriffe haben daher vermutlich mit dem Angriffskrieg auf die Ukraine zu tun. Zwar scheinen abgegriffene Zugangsdaten erst mal wenig spektakulär zu sein. Jedoch können sich die Cyberkriminellen dann etwa als andere Absender ausgeben und sich so auf Basis von Vertrauen weiter vorarbeiten, um an für sie interessante Informationen und Systeme zu gelangen.

Fancy Bear ist nicht die erste kriminelle Gruppierung, die diese MSDT-Sicherheitslücke zum Verbreiten von Malware missbraucht. Vor zwei Wochen hat bereits die Cybergang hinter der Quakbot-Ransomware angefangen [6], ihre Opfer mit Exploits für diese Schwachstelle zu infizieren.

(dmk [7])


URL dieses Artikels:
https://www.heise.de/-7148504

Links in diesem Artikel:
[1] https://www.heise.de/news/Zero-Day-Luecke-in-MS-Office-Microsoft-gibt-Empfehlungen-7126993.html
[2] https://www.atlanticcouncil.org/blogs/new-atlanticist/will-putin-use-nuclear-weapons-in-ukraine-our-experts-answer-three-burning-questions/
[3] https://blog.malwarebytes.com/threat-intelligence/2022/06/russias-apt28-uses-fear-of-nuclear-war-to-spread-follina-docs-in-ukraine/
[4] https://www.heise.de/news/Patchday-Microsoft-schliesst-MSDT-Luecke-die-auch-ohne-Makros-funktioniert-7141070.html
[5] https://www.heise.de/hintergrund/Krieg-der-Satellitenbilder-Was-sie-verraten-oder-auch-nicht-7142931.html
[6] https://www.heise.de/news/Zero-Day-Luecke-Cybergangs-missbrauchen-MSDT-Leck-fuer-Qakbot-Infektionen-7134949.html
[7] mailto:dmk@heise.de