Staatstrojaner: Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

0-Days werden deutlich seltener für gezielte Angriffe eingesetzt, als oft gedacht. In einem aktuellen Fall ist aber genau dies geschehen: Staatliche Hacker und Kriminelle nutzten eine Sicherheitslücke in Word aus, um den Finfisher-Trojaner zu installieren.

Artikel veröffentlicht am ,
Finfisher soll einen 0-Day-Exploit genutzt haben.
Finfisher soll einen 0-Day-Exploit genutzt haben. (Bild: Screenshot Golem.de)

Eine von Microsoft im Rahmen des letzten Patchdays geschlossene Sicherheitslücke im Office-Paket von Microsoft wurde offenbar genutzt, um den Staatstrojaner von Finfisher zu verteilen. Die Lücke mit der Bezeichnung CVE-2017-0199 wurde unter anderem von Proofpoint veröffentlicht, Fireeye hat Details zur Verwendung im Rahmen der Spionagekampagne veröffentlicht. Die ausspionierten Personen sollen nach Angaben von Motherboard aus Russland stammen.

Stellenmarkt
  1. Teamleiter IT-Lösungen Justiz (w/m/d)
    Dataport, Altenholz bei Kiel, Hamburg
  2. Leiter*in Informationstechnologie
    Städtisches Klinikum Karlsruhe gGmbH, Karlsruhe
Detailsuche

Für die Angriffe nutzte die unbekannte Gruppe auch Social Engineering. Den Opfern wurde ein Word-Dokument zugeschickt, das auf das russische Verteidigungsministerium hinweist. Ein weiteres Dokument sollte offenbar profanere Instinkte ansprechen und versprach Informationen zu "top 7 hot hacker chicks".

Word-Dokument installiert Finfisher-Trojaner

Öffnet ein Opfer ein entsprechend präpariertes Word-Dokument, wird im Hintergrund ein Script ausgeführt, das dann Schadcode nachlädt und installiert. In diesem Fall soll es sich um die Malware des Unternehmens Finfisher gehandelt haben. Die Kampagne wurde gemeinsam von Fireeye und dem bei Amnesty International arbeitenden Hacker Claudio Guarnieri gefunden. Guarnieri hatten auf dem 33C3 die Organisation Security Without Borders ins Leben gerufen.

Hinweise auf den Urheber der Kampagne gibt es nur wenige. Die Dokumente wurden auf einem Server mit italienischer IP-Adresse gehostet, was aber natürlich nur wenig Aussagekraft hat. Finfisher hat Kunden in der ganzen Welt, auch mehrere US-Behörden haben früheren Recherchen zufolge Kopien der Software gekauft. Auch bei gezielten Kampagnen werden relativ selten 0-Day-Exploits eingesetzt. Die meisten Angriffe setzen auf bekannte Sicherheitslücken in Verbindung mit Social Engineering.

Golem Karrierewelt
  1. Deep Dive: Data Architecture mit Spark und Cloud Native: virtueller Ein-Tages-Workshop
    01.02.2023, Virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
Weitere IT-Trainings

Der Exploit war vor seiner Veröffentlichung nicht nur Finfisher bekannt. Kriminelle nutzten die Sicherheitslücke, um Rechner mit dem Dridex-Botnet zu infizieren. Nach Angaben von Fireeye wurde außerdem die Latentbot-Malware verteilt, die zum Kopieren von Zugangsdaten eingesetzt werden kann. Golem.de hat Finfisher um einen Kommentar gebeten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Jahressteuergesetz
Homeoffice-Pauschale wird noch einmal erhöht

Wer im Homeoffice arbeitet, kann mehr von der Steuer absetzen als bislang geplant. Der Maximalbetrag steigt an.

Jahressteuergesetz: Homeoffice-Pauschale wird noch einmal erhöht
Artikel
  1. Smartphone: Android bekommt Lesemodus und Youtube-Widgets
    Smartphone
    Android bekommt Lesemodus und Youtube-Widgets

    Google hat neue Funktionen für Android vorgestellt, die unter anderem Nutzern mit Sehschwäche helfen sollen.

  2. Feuerwehr: Brennende E-Autos kommen in den Sack
    Feuerwehr
    Brennende E-Autos kommen in den Sack

    Brennt der Akku eines E-Autos, ist die Nachbehandlung für die Feuerwehr eine Herausforderung. Ein Löschsack für das gesamte Auto soll helfen.

  3. BMW iX5 Hydrogen: Warum BMW an Brennstoffzellen-Autos festhält
    BMW iX5 Hydrogen
    Warum BMW an Brennstoffzellen-Autos festhält

    Zusammen mit Toyota produziert BMW einen Brennstoffzellen-Antrieb, der nun in eine Demoflotte eingebaut wird. Wir haben uns die Produktion angeschaut.
    Ein Bericht von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis 53% günstiger, u. a. Echo Dot 5. Gen. 29,99€ • Mindstar: AMD Ryzen 7 7700X Tray 369€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. E-Auto-Wallbox 399€ • LG OLED TV (2022) 55" 120Hz 949€ • Alternate: Kingston 8GB DDR5-4800 37,99€ [Werbung]
    •  /