Staatstrojaner: Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

0-Days werden deutlich seltener für gezielte Angriffe eingesetzt, als oft gedacht. In einem aktuellen Fall ist aber genau dies geschehen: Staatliche Hacker und Kriminelle nutzten eine Sicherheitslücke in Word aus, um den Finfisher-Trojaner zu installieren.

Artikel veröffentlicht am ,
Finfisher soll einen 0-Day-Exploit genutzt haben.
Finfisher soll einen 0-Day-Exploit genutzt haben. (Bild: Screenshot Golem.de)

Eine von Microsoft im Rahmen des letzten Patchdays geschlossene Sicherheitslücke im Office-Paket von Microsoft wurde offenbar genutzt, um den Staatstrojaner von Finfisher zu verteilen. Die Lücke mit der Bezeichnung CVE-2017-0199 wurde unter anderem von Proofpoint veröffentlicht, Fireeye hat Details zur Verwendung im Rahmen der Spionagekampagne veröffentlicht. Die ausspionierten Personen sollen nach Angaben von Motherboard aus Russland stammen.

Stellenmarkt
  1. Agile Software Entwickler (m/w/d) Java
    binaris-informatik, Langenfeld
  2. Teamleiter Webshop Backend (gn)
    HORNBACH Baumarkt AG, Bornheim bei Landau / Pfalz
Detailsuche

Für die Angriffe nutzte die unbekannte Gruppe auch Social Engineering. Den Opfern wurde ein Word-Dokument zugeschickt, das auf das russische Verteidigungsministerium hinweist. Ein weiteres Dokument sollte offenbar profanere Instinkte ansprechen und versprach Informationen zu "top 7 hot hacker chicks".

Word-Dokument installiert Finfisher-Trojaner

Öffnet ein Opfer ein entsprechend präpariertes Word-Dokument, wird im Hintergrund ein Script ausgeführt, das dann Schadcode nachlädt und installiert. In diesem Fall soll es sich um die Malware des Unternehmens Finfisher gehandelt haben. Die Kampagne wurde gemeinsam von Fireeye und dem bei Amnesty International arbeitenden Hacker Claudio Guarnieri gefunden. Guarnieri hatten auf dem 33C3 die Organisation Security Without Borders ins Leben gerufen.

Hinweise auf den Urheber der Kampagne gibt es nur wenige. Die Dokumente wurden auf einem Server mit italienischer IP-Adresse gehostet, was aber natürlich nur wenig Aussagekraft hat. Finfisher hat Kunden in der ganzen Welt, auch mehrere US-Behörden haben früheren Recherchen zufolge Kopien der Software gekauft. Auch bei gezielten Kampagnen werden relativ selten 0-Day-Exploits eingesetzt. Die meisten Angriffe setzen auf bekannte Sicherheitslücken in Verbindung mit Social Engineering.

Golem Akademie
  1. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Der Exploit war vor seiner Veröffentlichung nicht nur Finfisher bekannt. Kriminelle nutzten die Sicherheitslücke, um Rechner mit dem Dridex-Botnet zu infizieren. Nach Angaben von Fireeye wurde außerdem die Latentbot-Malware verteilt, die zum Kopieren von Zugangsdaten eingesetzt werden kann. Golem.de hat Finfisher um einen Kommentar gebeten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
M1 Pro/Max
Dieses Apple Silicon ist gigantisch

Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
Eine Analyse von Marc Sauter

M1 Pro/Max: Dieses Apple Silicon ist gigantisch
Artikel
  1. Google: Neues Pixel 6 kostet 650 Euro
    Google
    Neues Pixel 6 kostet 650 Euro

    Das Pixel 6 Pro mit Telekamera und schnellerem Display kostet ab 900 Euro. Google verbaut erstmals einen eigenen Prozessor.

  2. Etisalat UAE: Wir haben das beste Netzwerk der Welt
    Etisalat UAE
    "Wir haben das beste Netzwerk der Welt"

    Das Land, wo 98 Prozent der Haushalte FTTH haben, hat ein Programm für die verbliebenen 2 Prozent gestartet. Kunden wollen 1 GBit/s in jedem Raum.

  3. Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
    Klimaforscher
    Das Konzept der Klimaneutralität ist eine gefährliche Falle

    Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
    Von James Dyke, Robert Watson und Wolfgang Knorr

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /