Angriff über Hintertür in koreanischer Textverarbeitung

Originalartikel von Roland Dela Paz, Threat Response Engineer

Vor ein paar Wochen entdeckten die Trend Micro-Sicherheitsforscher aus Korea ein speziell angefertigtes Hangul Word Processor-Dokument (.hwp), das eine Sicherheitslücke in der Textverarbeitungssoftware Hancom Office ausnützt. Das .hwp-Format ist in Korea sehr weit verbreitet und daher ein lohnenswertes Ziel für Cyberkriminelle.

Der Trojaner TROJ_MDROP.ZD verbirgt sich in einem als E-Mail-Anhang verschickten Dokument, das einen kürzlichen Mordfall in Korea als Köder einsetzt. Diese E-Mail wurde an eine Vielzahl von Mitarbeitern eines bekannten koreanischen Unternehmens verschickt.


Wird der bösartige Anhang geöffnet, so nutzt der Schädling eine noch nicht identifizierte Sicherheitslücke, um im Hintergrund einen Hintertür-Schädling (BKDR_VISEL.FO) abzulegen und auszuführen. Potenzielle Angreifer erhalten damit entfernten Zugriff und könnten bösartige Routinen auf der Maschine des Opfers ausführen. Die Analyse von BKDR_VISEL.FO zeigt, dass der Schädling auch Prozesse von Antivirus-Programmen beenden kann und damit seine Entdeckung beziehungsweise das Entfernen erschwert. Auch lädt er weitere bösartige Dateien herunter und führt diese aus, sodass ein infiziertes System für Datendiebstahl anfällig wird. Nachdem der Trojaner ausgeführt wurde, ersetzt er sich selbst mit einer sauberen .hwp-Datei, um bei den Nutzern keinen Verdacht zu erregen.

Dem Profil des betroffenen Unternehmens nach zu urteilen, könnte eine erfolgreiche Infektion zu einem Massendiebstahl von persönlichen Daten von Kunden führen. Hinzu kommt, dass hwp auch das Standardformat für die koreanische Regierungstextverarbeitung ist. Daher könnte dies der Auftakt zu einer künftigen breit angelegten regionalen Attacke sein.

Auch zeigt dieser Vorfall, dass Angreifer nach und nach auch Sicherheitslücken in lokal genutzten Anwendungen anpeilen. Hancom Office ist nicht die erste Software dieser Art, die von Angreifern ausgenützt wurde. Sicherheitslücke in der japanischen Textverarbeitungssoftware Ichitaro wurden auch schon für die Installation einer Hintertür missbraucht.

Die beiden Vorfälle zeigen, dass die Nutzung regionaler Software keine Garantie gegen Malware-Attacken bietet. Auch verdeutlichen sie ein weiteres Mal die hohe Bedeutung von Sicherheit, gerade für Unternehmen, die Kundeninformationen als Dienstleistung speichern. In vorliegendem Fall konnten glücklicherweise sofort die erforderlichen Schritte eingeleitet werden, um Schaden vom Unternehmen abzuwenden.

Trend Micro-Anwender sind vor dieser Art von Gefahren über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur entdeckt und löscht entsprechende Malware. Auch blockt sie die dazu gehörigen Nachrichten ab noch bevor sie die Inbox der Nutzer erreichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*