Hacker weiten Angriffe auf Windows-Zero-Day-Leck aus

Fieberkurve Notebook (Bild: Shutterstock / Natalia-Siverina)

Hacker reagieren auf die Offenlegung der Schwachstelle sowie die Veröffentlichung von Patches. Die neuen Kampagnen richten sich gegen Botschaften, Regierungen und Behörden weltweit.

Seit Ende Oktober weitet die Hackergruppe Pawn Storm offenbar verschiedene Spear-Phishing-Kampagne weiter aus. Die auch unter den Namen Fancy Bear, APT28, Sofacy und Strontium bekannte Gruppe reagiert damit nach Ansicht von Trend Micro auf die Offenlegung der von ihr zuletzt genutzten Zero-Day-Lücken in Adobe Flash Player und Windows.

Adobe hatte am 26. Oktober einen Notfallpatch für Flash Player veröffentlicht, der die von Google-Forschern entdeckte Schwachstelle mit der Kennung CVE-2016-7855 schließt. Sie kombinieren die Hacker mit einer Zero-Day-Lücke in Windows (CVE-2016-7255), die Googles Project Zero am 31. Oktober öffentlich machte. Microsoft verteilt seit Dienstag ein Sicherheitsupdate für diese Anfälligkeit.

Trend Micro (Grafik: Trend Micro)

“Nach dem Fix für CVE-2016-7855 in Adobe Flash hat Pawn Storm die beiden Zero-Day-Lücken in seinem Portfolio wahrscheinlich abgewertet”, kommentiert Trend Micro. “Statt sie nur gegen besonders wichtige Ziele einzusetzen, haben sie begonnen, deutlich mehr Ziele den Anfälligkeiten auszusetzen. Wir haben seit 28. Oktober mehrere Kampagnen gegen immer noch hochrangige Ziele beobachtet.”

Anfang November verschickten die Hacker E-Mails mit dem Betreff “Stellungnahme des Europaparlaments zur nuklearen Bedrohung” an Regierungen weltweit. Als Absender gaukelten sie einen EU-Sprecher vor. Ein eingebetteter Link führte zudem zu einem von Pawn Storm verwendeten Exploit Kit.

Das Exploit Kit wiederum sammelte per JavaScript Informationen über das verwendete Betriebssystem, die Zeitzone, installierte Browser-Plug-ins und Spracheinstellungen. Erst danach lieferte es unter Umständen den eigentlichen Exploit aus, und zwar bevorzugt an Nutzer von Windows Vista und Windows 7 mit Internet Explorer, die den Notfall-Patch von Adobe nicht installiert hatten.

Mehr zum Thema

IoT: Eine neue Standard-Welt entsteht

Im Bereich IoT gibt es zahlreiche Initiativen und Konsortien, bislang laufen diese Bestrebungen jedoch überwiegend parallel nebeneinander her. Doch damit dies alles überhaupt funktionieren kann, braucht man neben neuen Produkten auch neue Standards – insbesondere für die Kommunikation der Geräte untereinander und für die Sicherheit. silicon.de gibt einen Überblick.

Eine andere Kampagne habe mit Spear-Phishing-E-Mails Botschaften und Regierungsbehörden ins Visier genommen, so Trend Micro weiter. Einige dieser Nachrichten seien als Einladung für eine Sicherheitskonferenz getarnt worden, die tatsächlich im November stattfindet. In die angehängte Word-Datei mit dem echten Programm der Konferenz hätten die Hacker eine Flash-Datei eingebaut, die einen Exploit für CVE-2016-7855 enthielt.

“Im Zeitraum zwischen der Entdeckung der Zero-Day-Lücken und der Veröffentlichung der Patches von Adobe und Microsoft am 26. Oktober und 8. November wurden neben diesen beiden Kampagnen weitere gestartet”, ergänzte Trend Micro. “Das zeigt, dass Pawn Storm ihre Angriffe unverzüglich nach Adobes Patch ausgebaut haben. Wahrscheinlich waren nicht alle Organisationen in der Lage, Adobe Flash sofort zu patchen, und die Windows-Anfälligkeit wurde erst am 8. November beseitigt.” Nutzer fordert Trend Micro auf, ihr Windows-Betriebssystem und auch – falls vorhanden – Adobes Flash Player sofort zu aktualisieren.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Lesen Sie auch : Weihnachtszeit, Bots-Zeit