Pawn Storm-Kampagne nutzt neuen Adobe Flash Zero-Day für gezielte Angriffe

Schreibe eine Antwort

Analyse von Brooks Li, Feike Hacquebord und Peter Pi

Trend Micros Sicherheitsforscher haben entdeckt, dass die Angreifer hinter der neuesten Pawn Storm-Kampagne einen neuen Adobe Flash Zero-Day Exploit einsetzen. Pawn Storm (deutsch: „Operation Bauernsturm“) ist eine andauernde Cyberspionage-Aktion, die für ihre prominenten Ziele und die Nutzung des ersten Java Zero-Days berüchtigt ist. Die jüngste Kampagne zielt auf einige Außenministerien weltweit. Die Anvisierten erhielten Spear-Phishing-Mails, die Links zu dem Exploit umfassten.

Die E-Mails und URLs schienen auf Informationen zu aktuellen Ereignissen zu führen mit Betreffs wie:

“Selbstmörder-Autobombe hat NATO-Truppenkonvoi in Kabul im Visier“

“Syrische Truppen rücken vor, während Puting Luftschläge verteidigt”

“Israel startet Luftangriffe auf Ziele in Gaza”

“US-Militär meldet, dass 75 in den USA ausgebildete Rebellen nach Syrien zurückkehren”

Es fällt auf, dass die URLs mit dem neuen Flash Zero-Day Exploit denjenigen URLs ähneln, die in Angriffen im April auf NATO-Mitglieder und das Weiße Haus gefunden wurden.

Kürzlich sind nun die Außenministerien ins Blickfeld von Pawn Storm gerückt. Neben Schadsoftwareangriffen wurden auch gefälschte Outlook Web Access (OWA)-Server für verschiedene Ministerien aufgesetzt. Sie dienen einfachen, doch sehr effizienten Phishing-Angriffen. Bei einem der Ministerien wurden die DNS-Einstellungen für ankommende Mails kompromittiert. Damit aber konnte Pawn Storm über längere Zeit die eingehenden E-Mails abfangen.

Die Analyse der Sicherheitsforscher ergab, dass der Zero-Day mindestens Adobe Flash Player in den Versionen 19.0.0.185 und 19.0.0.207 betrifft.

Bild 1. Betroffene Adobe-Versionen

Trend Micros Deep Security und Vulnerability Protection schützt vor dieser Bedrohung über die DPI Rule

1007119 – Identified Malicious Adobe Flash SWF File

Trend Micro Deep Discovery wiederum kann über die speziellen Detection Engines und Sandboxing die Nutzung dieses Zero-Days aufdecken.

Trend Micro hat Adobe über die Funde informiert und unterstützt das Unternehmen bei der Behebung der Probleme.

Weiterführende Artikel:

  1. Pawn Storm mit neuem Java Zero-Day-Exploit
  2. Spionage über Operation Pawn Storm
  3. Pawn Storms Kampagne zur Binnenspionage aufgedeckt; Ukraine und USA Hauptziele weltweit
  4. Pawn Storm leitet C&C auf Trend Micro IP-Adresse um
  5. Operation Pawn Storm intensiviert die Aktivitäten mit Angriffen auf NATO und Weißes Haus

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.