Analyse von Brooks Li, Feike Hacquebord und Peter Pi
Trend Micros Sicherheitsforscher haben entdeckt, dass die Angreifer hinter der neuesten Pawn Storm-Kampagne einen neuen Adobe Flash Zero-Day Exploit einsetzen. Pawn Storm (deutsch: „Operation Bauernsturm“) ist eine andauernde Cyberspionage-Aktion, die für ihre prominenten Ziele und die Nutzung des ersten Java Zero-Days berüchtigt ist. Die jüngste Kampagne zielt auf einige Außenministerien weltweit. Die Anvisierten erhielten Spear-Phishing-Mails, die Links zu dem Exploit umfassten.
Die E-Mails und URLs schienen auf Informationen zu aktuellen Ereignissen zu führen mit Betreffs wie:
“Selbstmörder-Autobombe hat NATO-Truppenkonvoi in Kabul im Visier“
“Syrische Truppen rücken vor, während Puting Luftschläge verteidigt”
“Israel startet Luftangriffe auf Ziele in Gaza”
“US-Militär meldet, dass 75 in den USA ausgebildete Rebellen nach Syrien zurückkehren”
Es fällt auf, dass die URLs mit dem neuen Flash Zero-Day Exploit denjenigen URLs ähneln, die in Angriffen im April auf NATO-Mitglieder und das Weiße Haus gefunden wurden.
Kürzlich sind nun die Außenministerien ins Blickfeld von Pawn Storm gerückt. Neben Schadsoftwareangriffen wurden auch gefälschte Outlook Web Access (OWA)-Server für verschiedene Ministerien aufgesetzt. Sie dienen einfachen, doch sehr effizienten Phishing-Angriffen. Bei einem der Ministerien wurden die DNS-Einstellungen für ankommende Mails kompromittiert. Damit aber konnte Pawn Storm über längere Zeit die eingehenden E-Mails abfangen.
Die Analyse der Sicherheitsforscher ergab, dass der Zero-Day mindestens Adobe Flash Player in den Versionen 19.0.0.185 und 19.0.0.207 betrifft.
Bild 1. Betroffene Adobe-Versionen
Trend Micros Deep Security und Vulnerability Protection schützt vor dieser Bedrohung über die DPI Rule
1007119 – Identified Malicious Adobe Flash SWF File
Trend Micro Deep Discovery wiederum kann über die speziellen Detection Engines und Sandboxing die Nutzung dieses Zero-Days aufdecken.
Trend Micro hat Adobe über die Funde informiert und unterstützt das Unternehmen bei der Behebung der Probleme.