Gezielte Angriffe gegen asiatische und europäische Regierungsbehörden

Originalartikel von Jonathan Leopando, Technical Communications

Die Sicherheitsforscher von Trend Micro haben einen gezielten Angriff auf Regierungsbehörden verschiedener Länder aufgedeckt. Er startete mit einer E-Mail, die vorgibt, vom chinesischen Verteidigungsministerium zu kommen, obwohl sie von einem Gmail-Konto stammt und keinen chinesischen Namen nutzt.


Bild 1. Gefälschte Nachricht

Die Mail enthält einen bösartigen Anhang, der eine Sicherheitslücke (CVE-2012-0158) in Microsoft Office (alle Version von 2003 bis 2010) ausnützt, die vor mehr als einem Jahr gepatcht wurde. Der Exploit legt einen Hintertürschädling auf dem System ab, der dann Zugangsdaten für Websites und E-Mail-Konten für Internet Explorer und Microsoft Outlook stiehlt. Auch öffnet er ein legitimes „Dummy“-Dokument, um das Opfer in Sicherheit zu wiegen. Die geklauten Daten werden auf zwei IP-Adressen hochgeladen, die beide in Hongkong betrieben werden.

Der Angriff richtete sich in erster Linie gegen Mitarbeiter europäischer und asiatischer Behörden. Die Nachricht wurde allein an 16 Vertreter europäischer Länder gesendet. Das Thema der Mail und des Anhangs waren für diese Ziele von Interesse. Auch die geklauten Informationen und die Quelle des Diebstahls waren für die Ziele stimmig – die Angriffe galten großen Organisationen, die hauptsächlich Software wie den Internet Explorer und Outlook einsetzen.

Es fällt auf, dass auch chinesische Medienunternehmen unter den Zielen des Angriff waren. Der Hintertürschädling selbst wurde am häufigsten in China und Taiwan entdeckt, während andere asiatische Länder weniger betroffen waren.

Die genutzte Sicherheitslücke wurde schon häufig für gezielte Angriffe missbraucht. Breit angelegte Kampagnen wie Safe und Taidoor unter anderen setzten bereits darauf.

Trend Micros Produkte erkennen alle Aspekte dieser Bedrohung und der Message und C&C-Server sind bereits blockiert worden. Die Experten haben den bösartigen Anhang als TROJ_DROPPER.IK identifiziert und den Backdoor als BKDR_HGDER.IK. Deep Discovery schützt die Anwender mithilfe der Advanced Threats Scan Engine vor dem bösartigen Anhang.

Analyse von Jayronn Bucu.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*