Pawn Storm intensiviert Spear-Phishing bevor Zero-Days gepatcht werden

Originalbeitrag von Feike Hacquebord und Stephen Hilt


Die Effizienz eines Zero-Days als Angriffsmittel verliert sich schnell, wenn der Exploit entdeckt und die Lücke gepatcht wird. Doch zwischen der Entdeckung der Sicherheitslücke und der Veröffentlichung eines Patch kann ein Angreifer versuchen, das Meiste aus dem bis dahin wertvollen Werkzeug herauszuholen. Genau das passierte Ende Oktober und Anfang November, als die Spionagegruppe Pawn Storm (auch als Fancy Bear, APT28, Sofacy und STRONTIUM bekannt) ihre Spear-Phishing-Kampagnen gegen verschiedene Regierungen und Botschaften weltweit aufsetzten. Dafür verwendeten die Hintermänner eine vorher unbekannte Lücke in Adobes Flash (CVE-2016-7855, am 26. Oktober gepatcht über ein Notfall-Update) in Kombination mit einer Privilege Escalation-Lücke in Windows (CVE-2016-7255), die am 8. November geschlossen wurde.

Nach dem Patchen von CVE-2016-7855 in Adobe Flash entwertete Pawn Storm wahrscheinlich die zwei Zero-Days in ihrem Tool-Portfolio. Statt sie wie bislang nur gegen Top-Ziele einzusetzen, begannen sie sich auf eine größere Anzahl von Zielen zu konzentrieren, die aber immer noch hochwertig waren.

Bild 1. Infektionskette der Spear-Phishing-Kampagne

In einer der Pawn-Storm Kampagnen am 1. November nutzten die Akteure das Betreff „European Parliament statement on nuclear threats” (Stellungnahme des europäischen Parlaments zu nuklearen Bedrohungen). Die Mail gab vor, von einem realen Pressevertreter des Büros der EU zu kommen – natürlich war der Absender gefälscht. Wer den Link anklickte, landete beim Exploit Kit von Pawn Storm.

Das Exploit Kit verseuchte erst das System des Opfers mit einem invasiven JavaScript, das Betriebssysteminformationen, Zeitzone, installierte Browser Plugins und Spracheinstellungen auf den Exploit-Server hochlud. Dieser Server konnte dann ein Exploit zurückschicken oder einfach auf einen bösartigen Server umleiten. In kürzlich erfolgten Angriffen nutzte das Exploit Kit die Flash-Sicherheitslücke CVE-2016-7855 in Kombination mit dem nicht gepatchten Privilege Escalation-Fehler in Windows (CVE-2016-7255). Internet-Nutzer mit Windows Vista bis Windows 7, ohne den aktuellsten Patches für Flash, sind hohen Risiken ausgesetzt.

Zwischen dem 28. Oktober und den ersten Novembertagen gab es einige Wellen der Spear-Phishing-Mails an Botschaften und weitere Regierungsbehörden. Einige der Mails enthielten eine Einladung zu einer „Cyber Threat Intelligence and Incident Response conference in November” von Defense IQ, einer Medienorganisation, die auf Nachrichten aus dem Militär- und Verteidigungsbereich spezialisiert ist. Die Konferenz gibt es, doch war der Absender natürlich gefälscht. Die Mail enthielt ein RTF (Rich Text Format)-Dokument namens Programm Details.doc.

Das RTF-Dokument (TROJ_ARTIEF.JEJOSU) enthielt Programmeinzelheiten der tatsächlichen Konferenz für Ende November in London. Doch umfasste es auch eine eingebettete Flash-Datei (SWF_CONEX.A), die zusätzliche Dateien von einem Remote Server herunterlud. Diese Angriffsmethode gab es schon früher. Auch entdeckten die Sicherheitsforscher, dass die Flash-Datei ein Flash-Exploit für die eben gepatchte CVE-2016-7855 herunterlud. Eine zweite Datei wurde ebenfalls heruntergeladen, doch crashte sie im Test Microsoft Word.


Bild 2. Spear-Phishing-Mail von Pawn Storm


Bild 3. Das Word-Dokument mit einer eingebetteten Flash-Datei, die versucht, Exploits von einem Remote Server herunterzuladen

Neben diesen beiden Kampagnen startet Pawn Storm noch weitere in dieser Zeitspanne zwischen der Entdeckung des Zero-Days und der Veröffentlichung von Adobes und Microsofts Patches. Nicht alle Unternehmen waren möglicherweise in der Lage, Adobe Flash und die Windows-Sicherheitslücke bis zum 8. November zu patchen. Endanwender sollten dringend ihr Windows-Betriebssystem (über MS16-135) und Flash Player (via Notfallpatch) aktualisieren, um diesen Bedrohungen zuvorzukommen.

Lösungen von Trend Micro

Trend Micro™ Deep Discovery™ nutzt umfassende Erkennungstechniken und überwacht den gesamten Verkehr über virtuelle und physische Netzwerke hinweg, um einen Echtzeitschutz und tiefgehende Bedrohungsanalysen zu liefern. Eine anpassbare Sandbox und Emulationstechnik als Teil von Trend Micro Deep Security™ und Vulnerability Protection liefern virtuelles Patching und schützen Endpunkte und Netzwerke vor Bedrohungen, die noch nicht gepatchte Sicherheitslücken missbrauchen. Das OfficeScan Intrusion Defense Firewall Plugin schützt Endpunkte vor bekannten und unbekannten Exploits, auch bevor Patches aufgespielt wurden.

TippingPoint-Kunden sind vor diesen Angriffen über folgende MainlineDV-Filter geschützt:

  • 25498: HTTP: Adobe Flash AMF Use-After-Free Vulnerability
  • 25729: HTTP: Microsoft Windows NtSetWindowLongPtr Privilege Escalation Vulnerability
  • 25728: HTTPS: TROJ_KEFLER.A Checkin

TSPY_SEDNIT.F erkennt die Trend Micro Deep Discovery™ Sandbox als VAN_FILE_INFECTOR.UMXX.

Trend Micro Deep Security™ und Vulnerability Protection schützen über das Regel-Update DSRU16-034 mit diesen Deep Packet Inspection (DPI)-Regeln:

  • 1008003-Adobe Flash Player Use-After-Free Vulnerability (CVE-2016-7855)
  • 1008033-Microsoft Windows Elevation Of Privilege Vulnerability

Indicators of Compromise:

Exploit Sites:

  • abc24news[.]com
  • defenceglobalnews[.]com
  • globaldefencetalk[.]com
  • politlco[.]com
  • pressservices[.]net
  • washingtnpostnews[.]com
  • worldpressjournal[.]com
  • worldpostjournal[.]com

RTF document (TROJ_ARTIEF.JEJOSU): 4173b29a251cd9c1cab135f67cb60acab4ace0c5

CVE-2016-7855 sample (SWF_EXES.A): cb1e30e6e583178f8d4bf6a487a399bd341c0cdc

Payload (TSPY_SEDNIT.F): c2f8ea43f0599444d0f6334fc6634082fdd4a69f

C&C Servers:

  • microsoftstoreservice[.]com
  • servicetlnt[.]net
  • windowsdefltr[.]net

Sites, die Exploits an RTF-Dokumente mit eingebetteten SWF liefern:

  • appexsrv[.]net
  • securityprotectingcorp[.]com
  • uniquecorpind[.]com
  • versiontask[.]com

Zusätzliche Analysen von Francis Antazo und Jeanne Jocson

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*