Cisco warnt vor Word-Malware

FirewallSicherheit

Eine neue und ungewöhnliche Malware scheint es vor allem auf Regierungsstellen der NATO Abgesehen zu haben. Cisco vermutet staatliche Stellen als Urheber.

Die Sicherheitexperten Cisco Talos haben eine eher ungewöhnliche Malware analysiert. Der Schädling verbirgt sich in Microsoft-Word-Dokumenten und scheint vor allem auf Regierungsstellen von Staaten zu zielen, die der NATO angehören. Die Malware solle offenbar dazu dienen, Staatsgeheimnisse auszuspionieren. Die Kampagne habe zwischen Weihnachten und Neujahr stattgefunden. Derzeit deute nichts darauf hin, dass Regierungsstellen mit der Malware infiziert wurden.

Das Sicherheitsteam entdeckt in dem digitalen Schädling zahlreiche ausgefeilte Komponenten. Das lege die Vermutung nahe, dass es sich nicht um eine herkömmliche Malware handle, sondern dass staatliche Stellen die Entwicklung des digitalen Schädlings betrieben haben könnten.

vermeintlich harmloses Dokument mit ausgefeilter Infektions-Routine. Das Cisco-Talos-Team vermutet staatliche Stellen hinter der Malware. (Bild: Cisco)
vermeintlich harmloses Dokument mit ausgefeilter Infektions-Routine. Das Cisco-Talos-Team vermutet staatliche Stellen hinter der Malware. (Bild: Cisco)

In einer Analyse des Cisco-Teams, die mit ‘Matryoshka Doll Reconnaissance Framework’ betitelt ist, stellen die Forscher fest, dass diese Malware über verschiedene ungewöhnliche Features verfügt, so sei die Malware unter anderem in der Lage, Sandbox-Sicherheitslösungen zu umgehen und sorgt über das Einspielen von Daten-Müll dafür, dass Sicherheits-Tools zum Absturz gebracht werden.

Zudem verfüge das bösartige Dokument über eine Abfolge von eingebetteten Objekten. Diese lösen über mehrere Stufen hinweg den eigentlichen Payload der Malware aus. Anschließend wird eine Verbindung mit einem Command-and-Control-Server hergestellt, neben verschiedenen anderen Informationen liest die Malware dann auch die Version des Betriebssystems und von Adobe Flash aus und meldet diese an den C&C-Server.

“Die Analyse des Microsoft Office Dokuments zeigt einen sehr hoch entwickelten Workflow der Infizierung. Die eigentliche Aufgabe des Dokuments liegt darin, das Opfer auszuspionieren, um die Kommunikation mit einer Sandbox oder den Maschinen eines Sicherheitsanalysten zu umgehen. Zweitens, über Adobe Flash wird der Payload und ein Exploit für Adobe Flash abgerufen, der geladen und ausgeführt wird”, erklärt das Talos-Team von Cisco.

Cisco spricht von dem Matryoshka Doll Reconnaissance Framework, das sich über verschiedene eingebettete Objekte vor dem Zugriff durch Sicherheitslösungen wehrt. (Bild: Cisco)
Cisco spricht von dem Matryoshka Doll Reconnaissance Framework, das sich über verschiedene eingebettete Objekte vor dem Zugriff durch Sicherheitslösungen wehrt. (Bild: Cisco)

Bei der untersuchten Word-Datei handelt es sich um RTF-Dokument, in das zunächst ein OLE-Objekt eingebettet ist. Und in diesem OLE-Objekt steckt wiederum ein Adobe-Flash-Objekt. Über ein ActionScript wird dann ein Binary extrahiert, bei dem es sich ebenfalls um ein Adobe-Flash-Objekt handelt, das mit XOR und zlib komprimiert ist. Erst dieses zweite Adobe Flash-Objekt ist der eigentliche Payload der Malware, der dann eine HTTP-Verbindung mit dem C&C-Server erstellt.

Dieser Ansatz sei aus Sicht der Angreifer sehr geschickt, heißt es weiter, weil so der eigentliche Exploit nicht in das Dokument eingebettet ist und nicht von einem Antivirenprogramm erkannt werden kann. Die Angreifer hätten ein minimalistisches aber sehr effizientes Framework aufgesetzt, das sich aber je nach Bedarf auch während des Einsatzes ändern lässt, so die Autoren weiter.

Interessant sei auch, dass der eigentliche Payload zusammen mit großen Mengen Junk-Daten ausgegeben werde. Damit wollen die Angreifer offenbar Ressourcen-Probleme bei den Sicherheitssystemen verursachen. Damit soll vor allem eine Untersuchung der Malware unmöglich gemacht werden. Dass mit dieser Malware vor allem NATO-Mitglieder ausgekundschaftet werden sollten, schließen die Sicherheitsexperten lediglich aus dem Dateinamen des manipulierten Dokuments.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen