Hacker nutzen Microsoft-Browser-Bug aus, um VBA-Malware auf Ziel-PCs zu installieren

  • Ein nicht identifizierter Bedrohungsakteur hat eine inzwischen gepatchte Zero-Day-Schwachstelle im Internet Explorer-Browser ausgenutzt, um einen VBA-basierten Remote-Access-Trojaner (RAT) mit vollem Funktionsumfang bereitzustellen, der auf Dateien zugreifen kann, die in kompromittierten Windows-Systemen gespeichert sind, und der im Rahmen einer “ungewöhnlichen” Kampagne schädliche Nutzdaten herunterlädt und ausführt.

    Die Backdoor wird über ein Täuschungsdokument namens “Manifest.docx” verbreitet, das den Exploit-Code für die Schwachstelle aus einer eingebetteten Vorlage lädt, die wiederum Shellcode ausführt, um den RAT zu installieren, so das Cybersecurity-Unternehmen Malwarebytes, das die verdächtige Word-Datei am 21. Juli 2021 entdeckte.

    Das mit Malware verseuchte Dokument behauptet, ein “Manifest der Bewohner der Krim” zu sein, in dem die Bürger dazu aufgerufen werden, sich dem russischen Präsidenten Wladimir Putin zu widersetzen und “eine einheitliche Plattform namens ‘Volkswiderstand’ zu schaffen”.

    [Blocked Image: https://thehackernews.com/images/-UHcDw0TZuOc/YMt1nZpazaI/AAAAAAAA4Qs/d1jlOI8xheYWIFx_O8QJFzDxJI5tRuD7ACLcBGAsYHQ/s300-e100/free-ad-8-300.png]

    Der Internet Explorer-Fehler, der als CVE-2021-26411 verfolgt wird, ist insofern bemerkenswert, als dass er von der von Nordkorea unterstützten Lazarus-Gruppe missbraucht wurde, um Sicherheitsforscher anzugreifen, die an der Erforschung und Entwicklung von Sicherheitslücken arbeiten.

    Anfang Februar dieses Jahres deckte das südkoreanische Cybersicherheitsunternehmen ENKI auf, dass das staatlich unterstützte Hackerkollektiv einen erfolglosen Versuch unternommen hatte, seine Sicherheitsforscher mit bösartigen MHTML-Dateien anzugreifen, die beim Öffnen zwei Nutzdaten von einem entfernten Server herunterluden, von denen eine eine Zero-Day-Schwachstelle für Internet Explorer enthielt. Microsoft hat das Problem im Rahmen seiner Patch Tuesday-Updates für März behoben.

    [Blocked Image: https://thehackernews.com/images/-lZ4BcbcuZ5w/YQLCARxT1bI/AAAAAAAADYg/ng5r_-f-4f0B0RS2Mf-rIkCbF0u_7vKTQCLcBGAsYHQ/s0/malware.jpg]

    Die andere Methode beruht auf einer Social-Engineering-Komponente, die das Herunterladen und Ausführen einer ferngesteuerten Makro-Vorlage mit dem Implantat beinhaltet. Unabhängig von der Infektionskette ist die Verwendung doppelter Angriffsvektoren wahrscheinlich ein Versuch, die Wahrscheinlichkeit zu erhöhen, einen Weg in die Zielcomputer zu finden.

    “Während sich beide Techniken auf die Einschleusung von Vorlagen stützen, um einen vollwertigen Remote-Access-Trojaner einzuschleusen, ist der IE-Exploit (CVE-2021-26411), der zuvor von der Lazarus APT verwendet wurde, eine ungewöhnliche Entdeckung”, so Malwarebytes-Forscher Hossein Jazi in einem Bericht, der The Hacker News vorliegt. “Die Angreifer wollten möglicherweise Social Engineering und Exploit kombinieren, um ihre Chancen auf eine Infektion der Ziele zu maximieren.

    [Blocked Image: https://thehackernews.com/images/-azy2o-jUy8I/YLy9OO3scVI/AAAAAAAA4BY/75hsq3eOBOQsJbLGxKzF4tx3ZGV010RVwCLcBGAsYHQ/s728-e100/ransomware_728.jpg]

    Neben dem Sammeln von System-Metadaten ist das VBA RAT so orchestriert, dass es Antiviren-Produkte identifiziert, die auf dem infizierten Host laufen, und Befehle ausführt, die es von einem vom Angreifer kontrollierten Server erhält, einschließlich des Lesens, Löschens und Herunterladens beliebiger Dateien, und die Ergebnisse dieser Befehle zurück an den Server exfiltriert.

    Außerdem entdeckte Malwarebytes ein PHP-basiertes Panel mit dem Spitznamen “Ekipa”, das vom Angreifer verwendet wird, um die Opfer zu verfolgen und Informationen über den Modus Operandi anzuzeigen, der zum erfolgreichen Einbruch geführt hat, wobei die erfolgreiche Ausnutzung des IE-Zero-Day und die Ausführung des RAT hervorgehoben werden.

    “Während der Konflikt zwischen Russland und der Ukraine um die Krim andauert, haben auch die Cyberangriffe zugenommen”, so Jazi. “Das Täuschungsdokument enthält ein Manifest, das ein mögliches Motiv (die Krim) und ein mögliches Ziel (russische und pro-russische Personen) hinter diesem Angriff zeigt. Es könnte aber auch als falsche Flagge benutzt worden sein.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com