{"id":619,"date":"2024-10-11T06:24:24","date_gmt":"2024-10-11T06:24:24","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=619"},"modified":"2024-10-11T06:24:24","modified_gmt":"2024-10-11T06:24:24","slug":"neue-bosartige-ms-office-makro-cluster-entdeckt","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=619","title":{"rendered":"Neue b\u00f6sartige MS Office-Makro-Cluster entdeckt"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
MS Office-Anwender sollten ihre Suiten auf die neuste Version aktualisieren. Cyberangreifer k\u00f6nnten sonst die Makro-Funktion f\u00fcr ihre Zwecke missbrauchen.\n

Thaspol Sangsee \u2013 shutterstock.com<\/p>\n<\/div>\n

Bedrohungsakteure nutzen Makros, die automatisch Skripte ausf\u00fchren, schon seit Jahren, um\u00a0Malware<\/a>\u00a0bei ahnungslosen Benutzern einzuschleusen. Die Makros werden dabei im Hintergrund ausgef\u00fchrt und installieren Malware oder stellen eine Verbindung zu einem Befehls- und Kontrollserver her, der Malware herunterl\u00e4dt.<\/p>\n

Makros werden zwar in den neuesten Versionen von\u00a0Microsoft<\/a>\u00a0Office nicht mehr automatisch ausgef\u00fchrt. Das Team von Cisco Talos hat jedoch Hinweise gefunden, dass Bedrohungsakteure immer noch versuchen, diese Funktion in \u00e4lterer Software auszunutzen.<\/p>\n

In ihrem\u00a0Blog<\/a>\u00a0erkl\u00e4rten die Talos-Forscher, sie h\u00e4tten auf der Malware-Test-Website Virus Total mehrere mit Makros infizierte Dokumente gefunden , die von einem Framework namens MacroPack erstellt worden waren. Die Dateien k\u00f6nnten mehrere Payloads enthalten, darunter die Post-Exploitation-Frameworks Havoc und Brute Ratel sowie eine neue Variante des Remote-Access-Trojaners PhantomCore.<\/p>\n

Havoc und Brute Ratel sind Tools, die f\u00fcr Penetrationstester entwickelt wurden, hei\u00dft es in dem Bericht. Tools, die f\u00fcr Tester und Verteidiger entwickelt wurden, werden jedoch regelm\u00e4\u00dfig von Bedrohungsakteuren eingesetzt. Das beste Beispiel daf\u00fcr ist das Tool\u00a0Cobalt Strike<\/a>.<\/p>\n

Ein gemeinsames Merkmal aller b\u00f6sartigen Dokumente, die Cisco Talos auseinandergenommen hat, ist das Vorhandensein von vier nicht-b\u00f6sartigen VBA-Unterprogrammen. Diese Unterroutinen kamen in allen Beispielen vor und waren nicht verschleiert. \u201cDie Einbeziehung des gutartigen Codes d\u00fcrfte den Verdacht auf den von MacroPack generierten Code verringern\u201d, vermuten die Talos-Forscher.<\/p>\n

Handelt es sich um eine neue Malware-Kampagne eines Bedrohungsakteurs? MacroPack ist ein Framework, das f\u00fcr Red Teams entwickelt wurde, um die Verteidigungsma\u00dfnahmen von Unternehmen zu testen. In der Tat konnten die Forscher best\u00e4tigen, dass einige der Beispiele Teil von Red Team-Aktivit\u00e4ten waren. Andere enthielten jedoch bestimmte Taktiken und Techniken, die b\u00f6sartig erscheinen.<\/p>\n

Zumindest, so Cisco, sollten Sicherheitsexperten die Entdeckung als Mahnung nehmen, ihre Office-Suiten auf die neueste Version zu aktualisieren.<\/p>\n

W\u00e4hrend Verteidiger VirusTotal nutzen, um verd\u00e4chtige Dokumente hochzuladen, kann ein Bedrohungsakteur die Website nutzen, um zu pr\u00fcfen, ob eine Antiviren-Engine von ihm erstellte Malware erkennen kann.<\/p>\n

Lesetipp:<\/strong>\u00a0Weltweite St\u00f6rung bei Microsoft-Diensten<\/a><\/p>\n

Vier verd\u00e4chtige Gruppen von Dokumenten<\/h3>\n

Zu den verd\u00e4chtigen Dokumenten, die von Cisco Talos gefunden wurden, geh\u00f6ren<\/p>\n

ein angeblich verschl\u00fcsseltes Verl\u00e4ngerungsdokument des US Nationwide Multistate Licensing Systems and Registry, das Lizenzen von US-Hypothekenunternehmen verwaltet. Das auf VirusTotal hochgeladene Beispiel stammt aus dem M\u00e4rz 2023;<\/p>\n

ein Cluster von drei Dateien, die im Mai und Juni 2024 von IP-Adressen in China, Taiwan und Pakistan auf VirusTotal hochgeladen wurden. Sie haben \u00e4hnliche K\u00f6der, die auf Benutzer abzielen, mit einem generischen Word-Dokument, das die Aufforderung enth\u00e4lt, \u201cInhalte zu aktivieren\u201d \u2013 mit anderen Worten, die Ausf\u00fchrung eines Makros zu erm\u00f6glichen. Alle Befehls- und Kontroll-IP-Adressen f\u00fcr die Nutzdaten gehen an einen Server in der chinesischen Provinz Henan;<\/p>\n

eine Reihe von Dokumenten mit milit\u00e4rischen Themen, die mit Pakistan in Verbindung stehen. In dem einen Dokument wurde behauptet, dass neue Auszeichnungen f\u00fcr bestimmte Offiziersr\u00e4nge in der pakistanischen Luftwaffe angek\u00fcndigt w\u00fcrden. Das andere gab vor, ein vertrauliches Dokument f\u00fcr eine bestimmte Person zu sein, in dem deren Besch\u00e4ftigung als ziviler Forschungsoffizier im Cyberteam der pakistanischen Luftwaffe best\u00e4tigt wurde;<\/p>\n

eine leere Excel-Arbeitsmappe, die von einer russischen IP-Adresse zu VirusTotal hochgeladen wurde. Das Makro startet eine neue Instanz von Excel mit einer neuen Arbeitsmappe, die versucht, eine Datei von einem Server herunterzuladen und auszuf\u00fchren. Auf diesem Server befand sich ein Beispiel f\u00fcr die Golang-basierte PhantomCore-Backdoor. Laut Cisco Talos haben Forscher von Kaspersky diese Backdoor einem ukrainischen Hacktivisten zugeschrieben, der angeblich versucht, russische Regierungs- und Privatunternehmen auszuspionieren.<\/p>\n

Microsoft hat versucht, die Taktik mit untergeschobenen Makros auf zwei Arten zu unterbinden:<\/p>\n

Office-Administratoren und -Benutzer werden aufgefordert, die automatische Ausf\u00fchrung von Makros zu deaktivieren, so dass die Benutzer erst auf eine Warnung klicken m\u00fcssen, oder es wird sichergestellt, dass die Benutzer Makros nicht aktivieren k\u00f6nnen. Es bleibt zu hoffen, dass die Benutzer das Skript nicht ausf\u00fchren oder sich bei der IT-Sicherheitsbeh\u00f6rde erkundigen, wenn sie entsprechend geschult werden;<\/p>\n

Seit Juli 2022 wurde die F\u00e4higkeit der Windows-Versionen von Office und Office 365 ge\u00e4ndert, Makros automatisch bei heruntergeladenen Dateien auszuf\u00fchren. Stattdessen erscheint beim Empfang eines E-Mail-Anhangs mit einem Makro in Office-Versionen, die \u00e4lter als Mitte 2022 sind, eine rote Sicherheitswarnung. Das hei\u00dft, dass das Makro blockiert wurde. Au\u00dferdem gibt es eine Schaltfl\u00e4che mit der Aufschrift \u201cMehr erfahren\u201d, die zu einem Artikel f\u00fchrt, in dem das Sicherheitsrisiko bei der Aktivierung des Makros erl\u00e4utert wird.\u00a0Laut Proofpoint<\/a>\u00a0war die Aktion erfolgreich: Die Verwendung von Makro-aktivierten Anh\u00e4ngen durch Bedrohungsakteure ist in den neun Monaten zwischen der Ank\u00fcndigung von Microsoft, Makros zu blockieren, und dem tats\u00e4chlichen Beginn der Implementierung um 66 Prozent zur\u00fcckgegangen. (jm)<\/p>\n

Sie m\u00f6chten regelm\u00e4\u00dfig \u00fcber wichtige Themen rund um Cybersicherheit informiert werden? Unser kostenloser\u00a0Newsletter<\/a>\u00a0liefert Ihnen alles, was Sie wissen m\u00fcssen.<\/em><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

MS Office-Anwender sollten ihre Suiten auf die neuste Version aktualisieren. Cyberangreifer k\u00f6nnten sonst die Makro-Funktion f\u00fcr ihre Zwecke missbrauchen. Thaspol Sangsee \u2013 shutterstock.com Bedrohungsakteure nutzen Makros, die automatisch Skripte ausf\u00fchren, schon seit Jahren, um\u00a0Malware\u00a0bei ahnungslosen Benutzern einzuschleusen. Die Makros werden dabei im Hintergrund ausgef\u00fchrt und installieren Malware oder stellen eine Verbindung zu einem Befehls- und […]<\/p>\n","protected":false},"author":0,"featured_media":620,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-619","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/619"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=619"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/619\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/620"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=619"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=619"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=619"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}