Abo
  • IT-Karriere:

Staatstrojaner: Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

0-Days werden deutlich seltener für gezielte Angriffe eingesetzt, als oft gedacht. In einem aktuellen Fall ist aber genau dies geschehen: Staatliche Hacker und Kriminelle nutzten eine Sicherheitslücke in Word aus, um den Finfisher-Trojaner zu installieren.

Artikel veröffentlicht am ,
Finfisher soll einen 0-Day-Exploit genutzt haben.
Finfisher soll einen 0-Day-Exploit genutzt haben. (Bild: Screenshot Golem.de)

Eine von Microsoft im Rahmen des letzten Patchdays geschlossene Sicherheitslücke im Office-Paket von Microsoft wurde offenbar genutzt, um den Staatstrojaner von Finfisher zu verteilen. Die Lücke mit der Bezeichnung CVE-2017-0199 wurde unter anderem von Proofpoint veröffentlicht, Fireeye hat Details zur Verwendung im Rahmen der Spionagekampagne veröffentlicht. Die ausspionierten Personen sollen nach Angaben von Motherboard aus Russland stammen.

Stellenmarkt
  1. ITEOS, verschiedene Standorte
  2. ima-tec GmbH, Kürnach

Für die Angriffe nutzte die unbekannte Gruppe auch Social Engineering. Den Opfern wurde ein Word-Dokument zugeschickt, das auf das russische Verteidigungsministerium hinweist. Ein weiteres Dokument sollte offenbar profanere Instinkte ansprechen und versprach Informationen zu "top 7 hot hacker chicks".

Word-Dokument installiert Finfisher-Trojaner

Öffnet ein Opfer ein entsprechend präpariertes Word-Dokument, wird im Hintergrund ein Script ausgeführt, das dann Schadcode nachlädt und installiert. In diesem Fall soll es sich um die Malware des Unternehmens Finfisher gehandelt haben. Die Kampagne wurde gemeinsam von Fireeye und dem bei Amnesty International arbeitenden Hacker Claudio Guarnieri gefunden. Guarnieri hatten auf dem 33C3 die Organisation Security Without Borders ins Leben gerufen.

Hinweise auf den Urheber der Kampagne gibt es nur wenige. Die Dokumente wurden auf einem Server mit italienischer IP-Adresse gehostet, was aber natürlich nur wenig Aussagekraft hat. Finfisher hat Kunden in der ganzen Welt, auch mehrere US-Behörden haben früheren Recherchen zufolge Kopien der Software gekauft. Auch bei gezielten Kampagnen werden relativ selten 0-Day-Exploits eingesetzt. Die meisten Angriffe setzen auf bekannte Sicherheitslücken in Verbindung mit Social Engineering.

Der Exploit war vor seiner Veröffentlichung nicht nur Finfisher bekannt. Kriminelle nutzten die Sicherheitslücke, um Rechner mit dem Dridex-Botnet zu infizieren. Nach Angaben von Fireeye wurde außerdem die Latentbot-Malware verteilt, die zum Kopieren von Zugangsdaten eingesetzt werden kann. Golem.de hat Finfisher um einen Kommentar gebeten.



Anzeige
Top-Angebote
  1. (u. a. Assassin's Creed Odyssey für 24,99€, Monster Hunter World - EU Key für 30,49€)
  2. 53,99€ (Release am 27. August)
  3. (aktuell u. a. Asus Vivobook 15 für 589,00€, Nero AG Platinum Recording Software für 59,90€)

__destruct() 14. Apr 2017

"Die Dokumente wurden auf einem Server mit italienischer IP-Adresse gehostet, was aber...

generalsolo 14. Apr 2017

Microsoft Office warnt standardmäßig beim Öffnen von Word-, Excel-, PowerPoint...


Folgen Sie uns
       


Tiemo Wölken (SPD) zu Artikel 13

Der SPD-Europaabgeordnete Tiemo Wölken hofft darauf, dass das Europaparlament am 26. März 2019 den umstrittenen Artikel 13 noch ablehnt.

Tiemo Wölken (SPD) zu Artikel 13 Video aufrufen
IT-Headhunter: ReactJS- und PHP-Experten verzweifelt gesucht
IT-Headhunter
ReactJS- und PHP-Experten verzweifelt gesucht

Marco Nadol vermittelt für Hays selbstständige Informatiker, Programmierer und Ingenieure in Unternehmen. Aus langjähriger Erfahrung als IT-Headhunter weiß er mittlerweile sehr gut, was ihre Chancen auf dem Markt erhöht und was sie verschlechtert.
Von Maja Hoock

  1. Jobporträt Wenn die Software für den Anwalt kurzen Prozess macht
  2. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  3. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

    •  /