Staatlich unterstützter Hacker soll hinter Follina-Angriffen auf EU und USA stecken

  • Ein nicht genannter staatlicher Akteur soll hinter einer Phishing-Kampagne stecken, die auf europäische und lokale US-Regierungsstellen abzielt und die Follina-Office-Schwachstelle nutzt.

    Die Hacking-Versuche wurden von der Cybersecurity-Firma Proofpoint entdeckt, die am vergangenen Freitag eine Reihe von Tweets von ihrem Threat Insight-Konto veröffentlichte, in denen die Details der Kampagne beschrieben wurden.

    „Proofpoint hat eine mutmaßlich staatlich ausgerichtete Phishing-Kampagne abgewehrt, die auf weniger als 10 Proofpoint-Kunden abzielte (europäische Regierung & Lager; lokale US-Regierung) und versuchte, #Follina auszunutzen“, heißt es im ersten Tweet.

    Nach Angaben der Sicherheitsexperten zielte die Phishing-Kampagne auf Regierungsangestellte ab, bot eine Gehaltserhöhung an und verwendete eine RTF-Datei mit dem Exploit-Payload, der von 45.76.53[.]253.

    Das heruntergeladene Powershell-Skript war Berichten zufolge base64-kodiert und verwendete Invoke-Expression, um ein zusätzliches PS-Skript von seller-notification herunterzuladen[.]live.

    Nach dem Herunterladen prüft das Skript, ob es virtualisiert ist, stiehlt Informationen aus lokalen Browsern, Mail-Clients und Dateidiensten, führt einen Rechnerabgleich durch und komprimiert die Daten, um sie dann an die 45.77.156[.]179 IP-Adresse gesendet wird.

    Während Proofpoint die Kampagne nicht direkt mit bestimmten Hackergruppen in Verbindung brachte, sagte das Unternehmen, dass die Merkmale des Angriffs auf einen nationalstaatlichen Akteur hindeuten. Gleichzeitig nannte das Unternehmen zum Zeitpunkt der Erstellung dieses Artikels keine spezifischen Länder.

    „Obwohl Proofpoint vermutet, dass diese Kampagne von einem staatlich ausgerichteten Akteur durchgeführt wurde, basierend sowohl auf der umfangreichen Aufklärung der Powershell als auch auf der engen Konzentration der Zielpersonen, schreiben wir sie derzeit nicht einer nummerierten TA zu.“

    Die Follina-Schwachstelle, die das Microsoft Windows Support Diagnostic Tool (MSDT) ausnutzt, um Fernzugriff auf Zielsysteme zu erhalten, wurde vom Windows-Riesen noch nicht offiziell gepatcht. Stattdessen riet Microsoft den Benutzern, das ms-msdt-Protokoll zu deaktivieren.

    Die Sicherheitsforscher von 0patch haben ein inoffizielles Patch veröffentlicht, mit dem MSDT aktiv bleiben kann.

    „Es wäre für uns bei weitem am einfachsten, msdt.exe einfach zu deaktivieren, indem wir es mit einem TerminateProcess()-Aufruf patchen. Das würde jedoch die Windows-Diagnoseassistenten unbrauchbar machen“, schrieb das Unternehmen in einem Blog-Post.

    Stattdessen entschied sich 0patch, den Patch in sdiagnhost.exe vor dem RunScript-Aufruf zu platzieren und zu prüfen, ob der vom Benutzer angegebene Pfad eine „$(„-Sequenz enthält, die zum Einfügen eines PowerShell-Unterausdrucks erforderlich ist.

    „Wenn eine solche erkannt wird, stellen wir sicher, dass der RunScript-Aufruf umgangen wird, während das Diagnosetool weiter ausgeführt wird.“

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com