Alte MS Office Versionen im Ziel von globaler Steganographie Angriffswelle

15. April 2024 Eine Untersuchung von Positive Technologies hat ergeben, dass die Cybercrime-Gruppe TA558 in einer breit angelegten Kampagne, genannt “SteganoAmor”, staatliche und private Sektoren auf der ganzen Welt ins Visier nimmt. Die Gruppe, die bisher vorwiegend in Lateinamerika aktiv war, hat ihre Aktivitäten ausgeweitet und verwendet dabei eine Vielzahl von Malware-Tools. Bemerkenswert ist die Nutzung von Steganografie - das Verstecken von Malware in Bilddateien - und legitim erscheinenden Servern für Command and Control (C2) Operationen sowie Phishing-Angriffe.

Dabei wird die Schwachstelle [CVE-2017-1188](http://Microsoft Equation Editor) im Microsoft Formeleditor in verschiedenen Office Programmen ausgenutzt. Veraltete Office Versionen öffnen befallene Dokumente und laden so die in den eingebetteten Bilddateien versteckte Malware automatisch ins System. Obwohl die Sicherheitslücke viele Jahre alt ist, scheint es immer noch ausreichend viele Computer mit einer Office Version vor 2017 zu geben, die dafür anfällig sind.

Die Forscher haben als 300 derartige Attacken dokumentiert, die eindeutig der Gruppe zugeordnet werden können. Diese richten sich nicht nur gegen Ziele in Lateinamerika, sondern auch gegen Organisationen in Nordamerika und Westeuropa.

Die Angriffe werden oft durch E-Mails eingeleitet, die schädliche Dateien enthalten, welche wiederum weitere Malware aus dem Internet nachladen. In einigen Fällen wurde sogar der komplette Inhalt der Kommunikation von Unternehmen durch die Kriminellen kontrolliert, indem sie sich Zugriff auf SMTP-Server verschafften..

Related Posts

Kritische PHP Sicherheitslücke in Windows: Befehlsinjektion möglich

April 2024 – Ein Sicherheitsforscher berichtet auf Github über eine PHP Sicherheitslücke die Windows-Benutzer betrifft. Die Schwachstelle ermöglicht eine Befehlsinjektion durch speziell gestaltete Argumente in der Funktion proc_open, selbst wenn die Option “bypass_shell” aktiviert ist, die normalerweise das Ausführen eines externen Kommandos über die CMD.exe unterbinden soll. Die Schwachstelle betrifft ältere PHP Versionen auf Windows : PHP 8.1 < 8.1.28 PHP 8.2 < 8.2.18 PHP 8.3 < 8.3.5 Nutzer dieser Systeme sollten auf Version 8.1.28, 8.2.18 bzw. 8.3.6 aktualisieren, um den Schutz vor dieser kritischen Sicherheitslücke zu gewährleisten. Laut Dokumentation sollte proc_open in PHP 7.4.0 und höher externe Befehle direkt ausführen können, ohne durch eine Shell zu gehen, wenn die Befehle als Array übergeben werden. Dies schließt eine automatische Escapierung der Argumente durch PHP mit ein. Die Option bypass_shell ist speziell dafür gedacht, die Nutzung der CMD.exe zu umgehen.

Read More

CISA warnt: Türoffner Chirp Access Systeme einfach zu hacken

Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine Warnung bezüglich einer Sicherheitslücke in den Chirp Access Systemen von Chirp Systems herausgegeben. Die Warnung, die unter dem Code ICSA-24-067-01 veröffentlicht wurde, weist auf eine kritische Schwachstelle hin, die es Angreifern ermöglichen könnte, uneingeschränkten physischen Zugang zu gesicherten Bereichen zu erlangen.

Read More

TU Graz: WebGPU Schwachstelle erlaubt Datendiebstahl

April 2024 - Forscher der Technischen Universität Graz haben bedenkliche Sicherheitslücken in der Browser-Schnittstelle WebGPU entdeckt, die es ermöglichen, über Seitenkanalangriffe auf Grafikkarten Zugriff auf fremde Computer zu erhalten. Diese Angriffe sind so schnell, dass sie während normaler Internetnutzung unbemerkt bleiben könnten. Die Schnittstelle WebGPU, die zunehmend für rechenintensive Aufgaben in Webbrowsern verwendet wird, ermöglicht es, die Grafikkarte (GPU) eines Computers zu nutzen. Die Forscher des Instituts für Angewandte Informationsverarbeitung und Kommunikationstechnologie an der TU Graz konnten zeigen, dass durch manipuliertes JavaScript auf Websites Daten wie Tastatureingaben oder Verschlüsselungsschlüssel ausgespäht werden können. Folgende Angriffszenarieren sind laut den Forschern möglich:

Read More