Alte MS Office Versionen im Ziel von globaler Steganographie Angriffswelle
15. April 2024 Eine Untersuchung von Positive Technologies hat ergeben, dass die Cybercrime-Gruppe TA558 in einer breit angelegten Kampagne, genannt “SteganoAmor”, staatliche und private Sektoren auf der ganzen Welt ins Visier nimmt. Die Gruppe, die bisher vorwiegend in Lateinamerika aktiv war, hat ihre Aktivitäten ausgeweitet und verwendet dabei eine Vielzahl von Malware-Tools. Bemerkenswert ist die Nutzung von Steganografie - das Verstecken von Malware in Bilddateien - und legitim erscheinenden Servern für Command and Control (C2) Operationen sowie Phishing-Angriffe.
Dabei wird die Schwachstelle [CVE-2017-1188](http://Microsoft Equation Editor) im Microsoft Formeleditor in verschiedenen Office Programmen ausgenutzt. Veraltete Office Versionen öffnen befallene Dokumente und laden so die in den eingebetteten Bilddateien versteckte Malware automatisch ins System. Obwohl die Sicherheitslücke viele Jahre alt ist, scheint es immer noch ausreichend viele Computer mit einer Office Version vor 2017 zu geben, die dafür anfällig sind.
Die Forscher haben als 300 derartige Attacken dokumentiert, die eindeutig der Gruppe zugeordnet werden können. Diese richten sich nicht nur gegen Ziele in Lateinamerika, sondern auch gegen Organisationen in Nordamerika und Westeuropa.
Die Angriffe werden oft durch E-Mails eingeleitet, die schädliche Dateien enthalten, welche wiederum weitere Malware aus dem Internet nachladen. In einigen Fällen wurde sogar der komplette Inhalt der Kommunikation von Unternehmen durch die Kriminellen kontrolliert, indem sie sich Zugriff auf SMTP-Server verschafften..