DDE-Angriffstechnik
McAfee ordnet neue DDE-Angriffstechnik der APT28-Hackergruppe zu
Erster Nachweis zur Ausnutzung der Microsoft DDE-Technik
Die Security-Experten von McAfee beobachteten die russische APT-Gruppe APT28 anhand der kürzlich gemeldeten DDE-Technik. Die McAfee Analyse zeigt, wie die Cyber-Spione eine gezielte Cyber-Spionage-Kampagne mit leeren Office-Dokumenten durchführten, deren Namen sich auf den jüngsten Terroranschlag in New York City bezog.
Dynamic Data Exchange (DDE) ist ein Protokoll, das den Datentransfer zwischen Anwendungen ermöglicht. Es sendet Nachrichten zwischen den Anwendungen, die Daten gemeinsam nutzen und verwendet einen gemeinsamen Speicher, um Daten zwischen Anwendungen auszutauschen. Die Angreifer haben nun eine Methode entwickelt, um die Ausführung von in Office-Dokumenten eingebettetem Schadcode, ohne Benutzerinteraktion und mit Hilfe der DDE-Technik, zu erreichen.
Bei der Überwachung der Aktivitäten rund um die Bedrohungsgruppe APT28 identifizierten Experten von McAfee Advanced Threat Research ein bösartiges Word-Dokument, das die Microsoft Office Dynamic Data Exchange- (DDE-) Technik zu nutzen scheint. Dieses Dokument markiert wahrscheinlich die erste beobachtete Verwendung dieser Technik durch APT28
APT28, auch bekannt als Fancy Bear, hat sich vor kurzem auf die Verwendung verschiedener Themen konzentriert. In diesem Fall profitierte es vom jüngsten Terroranschlag in New York City. Das Dokument selbst ist leer. Nach dem Öffnen kontaktiert das Dokument einen Kontrollserver, um die erste Stufe der Malware, Seduploader, auf das System des Opfers zu verschieben.
Die an der Verteilung von Seduploader beteiligte Domain wurde erst am 19. Oktober, also 11 Tage vor der Nutzung von Seduploader erstellt.
Ablauf des Angriffs:
Das Dokument:
- Dateiname: IsisAttackInNewYork.docx
- Erstellungsdatum: 2017-10-27T22: 23: 00Z verwendet die kürzlich in Office-Produkten gefundene DDE-Technik, um die Eingabeaufforderung zum Aufrufen von PowerShell durchzuführen, die zwei Befehle ausführt.
Erster PowerShell-Befehl:
Der zweite PowerShell-Befehl ist Base64-codiert und befindet sich in der vom Remoteserver empfangenen Version von config.txt. Er decodiert wie folgt:
Die PowerShell-Skripts wenden sich dann an eine bestimmte URL, um Seduploader herunterzuladen.
In der ersten Stufe werden die grundlegenden Host-Informationen des potentiellen Opfers erfasst. Wenn das System für die Hacker interessant ist, folgt normalerweise die Installation von X-Agent oder Sedreco. Die Analyse der in der Kampagne verwendeten Malware- und Command-and-Control (C & C) -Domänen ergab, dass die Kampagne über die DDE-Ausnutzung am 25. Oktober begann.
APT28 ist ein einfallsreicher Bedrohungsakteur, der nicht nur die jüngsten Ereignisse nutzt, um potenzielle Opfer zu infizieren, sondern auch schnell neue Angriffstechniken einbauen kann, um den Erfolg zu steigern. Angesichts der Bekanntheit, die die Cy Con US-Kampagne in der Presse erhalten hat, ist es möglich, dass APT28-Akteure das in früheren Aktionen verwendete VBA-Skript nicht mehr nutzen und die DDE-Technik zur Umgehung der Netzwerkverteidigung verwenden, schlussfolgert McAfee
Den Experten zufolge sind die jüngsten Angriffe Teil einer Kampagne, die auch Dokumente zum Thema Saber Guardian 17 enthielt, einer multinationalen Militärübung, an der rund 25.000 Soldaten aus über 20 Nationen beteiligt waren. Die militärische Übung wurde von der US-Armee in Osteuropa durchgeführt, um vor einer potentiellen russischen Intervention in das NATO-Gebiet abzuschrecken.
Erst vor ein paar Wochen haben Forscher von Cisco Talos eine weitere Cyber-Spionage-Kampagne der APT28-Gruppe entdeckt , die sich mit Spear-Phishing-Nachrichten an Personen richtete, die Dokumente verwendeten, die auf eine NATO-Cybersicherheitskonferenz verwiesen. Die Hacker zielten auf Einzelpersonen mit besonderem Interesse an der Cy Con US-Cybersicherheitskonferenz, die vom NATO Cooperative Defense Center of Excellence (CCDCOE) in Zusammenarbeit mit dem Army Cyber Institute in West Point am 7. und 8. November in Washington, DC, organisiert wurde.
