Russische Staats-Hacker nutzen dringendes Microsoft Office-Patch aus und kompromittieren globale Einheiten

Global - Ekhbary Nachrichtenagentur

Russische Staats-Hacker nutzen dringendes Microsoft Office-Patch aus und kompromittieren globale Einheiten

Als deutliches Beispiel für die eskalierende Geschwindigkeit und Raffinesse staatlich geförderter Cyberkriegsführung hat eine berüchtigte, von Russland unterstützte Hackergruppe, weithin bekannt als APT28 oder Fancy Bear, keine Zeit verloren, eine kritische Microsoft Office-Schwachstelle auszunutzen. Weniger als 48 Stunden nachdem Redmond im vergangenen Monat ein dringendes, unplanmäßiges Sicherheitsupdate veröffentlicht hatte, bewaffneten die Bedrohungsakteure die als CVE-2026-21509 identifizierte Schwachstelle, um eine hochgradig zielgerichtete Kampagne zu starten. Diese kühne Operation kompromittierte erfolgreich Geräte in diplomatischen, maritimen und Transportorganisationen in mindestens neun Ländern, hauptsächlich in Osteuropa, was die schwindende Zeitspanne für Verteidiger unterstreicht, kritische Systeme zu patchen.

Sicherheitsforscher von Trellix enthüllten die Details dieser schnellen Ausnutzung und hoben die Fähigkeit der Gruppe hervor, Microsofts Patch innerhalb von zwei Tagen per Reverse Engineering zu analysieren und fortschrittliche Exploits zu entwickeln. Diese Exploits installierten dann zwei neuartige, zuvor ungesehene Backdoor-Implantate, die BeardShell und NotDoor genannt wurden. Die gesamte Kampagne war akribisch auf Heimlichkeit ausgelegt und setzte Techniken ein, die die Kompromittierung durch herkömmliche Endpunktschutzmaßnahmen praktisch unentdeckbar machten. Dazu gehörte die Verschlüsselung von Exploits und Payloads, deren ausschließliche Ausführung im Arbeitsspeicher und die Nutzung scheinbar legitimer Kanäle für Command-and-Control, was ihre böswillige Absicht außerordentlich schwer erkennbar machte.

Der ursprüngliche Vektor für diese ausgeklügelte Intrusion stammte oft von zuvor kompromittierten Regierungskonten aus verschiedenen Ländern, was darauf hindeutet, dass die Angreifer bestehende Sicherheitslücken oder Anmeldeinformationen ausgenutzt haben, die den Ziel-E-Mail-Empfängern wahrscheinlich bekannt waren. Darüber hinaus wurde die Command-and-Control-Infrastruktur in legitimen Cloud-Diensten gehostet, die in sensiblen Netzwerken typischerweise auf einer Whitelist stehen, wodurch der bösartige Datenverkehr nahtlos mit der regulären Netzwerkaktivität verschmelzen konnte. Diese strategische Wahl vertrauenswürdiger Kanäle, kombiniert mit dateilosen Techniken, ermöglichte es den Angreifern, „sich in aller Offenheit zu verstecken“, wie die Trellix-Forscher feststellten.

Die 72-stündige Spear-Phishing-Kampagne begann am 28. Januar und lieferte mindestens 29 verschiedene E-Mail-Köder an Organisationen in neun Ländern, hauptsächlich in Osteuropa. Trellix nannte acht davon: Polen, Slowenien, Türkei, Griechenland, VAE, Ukraine, Rumänien und Bolivien. Die primären Ziele waren Verteidigungsministerien (40 Prozent der Angriffe), Transport-/Logistikunternehmen (35 Prozent) und diplomatische Einrichtungen (25 Prozent). Dieses Targeting-Profil stimmt perfekt mit den geopolitischen Zielen überein, die oft mit staatlich ausgerichteten Akteuren wie APT28 verbunden sind, die häufig Cyber-Spionage gegen für die nationale Sicherheit und internationale Beziehungen entscheidende Einheiten betreiben.

Der Erfolg der Infektionskette führte zur Bereitstellung von BeardShell oder NotDoor. BeardShell, eine leistungsstarke Backdoor, verschaffte den Angreifern umfangreiche Systemaufklärungsfähigkeiten, Persistenz durch das Einschleusen von Prozessen in Windows svchost.exe und einen entscheidenden Ausgangspunkt für die laterale Bewegung zu anderen Systemen innerhalb eines infizierten Netzwerks. Ihre Ausführung basierte auf dynamisch geladenen .NET-Assemblies, einer Technik, die darauf ausgelegt ist, minimale forensische Artefakte auf der Festplatte zu hinterlassen, was die Erkennung und Analyse durch Sicherheitsteams weiter erschwert. Dieser In-Memory-Betrieb ist ein Merkmal fortschrittlicher persistenter Bedrohungen (APTs), die versuchen, traditionelle Sicherheitstools zu umgehen.

NotDoor, die zweite Backdoor, manifestierte sich als VBA-Makro. Sie wurde erst installiert, nachdem die Exploit-Kette die Makrosicherheitskontrollen von Outlook erfolgreich deaktiviert hatte – ein kritischer Schritt, der das tiefe Verständnis der Angreifer für E-Mail-Client-Schwachstellen demonstriert. Einmal aktiv, überwachte NotDoor akribisch E-Mail-Ordner, einschließlich Posteingang, Entwürfe, Junk-Mail und RSS-Feeds. Es bündelte dann Nachrichten in eine Windows .msg-Datei, die anschließend an von Angreifern kontrollierte Konten gesendet wurde, die auf dem Cloud-Dienst filen.io eingerichtet waren. Um Sicherheitskontrollen auf hochprivilegierten Konten zu umgehen, die den Zugriff auf klassifizierte Kabel und andere sensible Dokumente einschränken sollen, verarbeitete das Makro E-Mails mit einer benutzerdefinierten Eigenschaft „AlreadyForwarded“ und setzte „DeleteAfterSubmit“ auf „true“, um weitergeleitete Nachrichten aus dem Ordner „Gesendete Objekte“ zu löschen und so Spuren der Exfiltration zu beseitigen.

Trellix schrieb die Kampagne APT28 mit „hoher Zuversicht“ zu, basierend auf einer Konvergenz technischer Indikatoren und der beobachteten spezifischen Targeting-Muster. Diese Zuordnung wurde ferner vom ukrainischen CERT-UA bestätigt, das die Angriffe unabhängig voneinander UAC-0001 zuordnete, einem anderen Tracking-Namen, der APT28 entspricht. APT28, auch bekannt als Fancy Bear, Sednit, Forest Blizzard und Sofacy, hat eine gut dokumentierte Geschichte von Cyberspionage- und Einflussoperationen, die oft mit russischen Staatsinteressen übereinstimmen. Ihr Modus Operandi umfasst typischerweise ausgeklügelte mehrstufige Malware, umfangreiche Verschleierung, Missbrauch legitimer Cloud-Dienste und das hartnäckige Targeting von E-Mail-Systemen, um ihre Ziele zu erreichen.

Die in dieser Kampagne angewandte Technik – gekennzeichnet durch die schnelle Bewaffnung einer Zero-Day- (oder nahezu Zero-Day-) Schwachstelle, die Verwendung neuartiger Implantate, die dateilose Ausführung und die Ausnutzung vertrauenswürdiger Kanäle – spiegelt die Fähigkeiten eines gut ausgestatteten und fortgeschrittenen Gegners wider. Dieser Vorfall dient als kritische Erinnerung für Organisationen weltweit, die rechtzeitige Patch-Anwendung zu priorisieren, ihre Fähigkeiten zur Bedrohungserkennung zu verbessern, um In-Memory- und dateilose Angriffe zu identifizieren, und die Abwehrmaßnahmen gegen ausgeklügelte Spear-Phishing-Versuche zu stärken. Cybersicherheitsfirmen wie Trellix stellen kontinuierlich aktualisierte Indikatoren für Kompromittierung (IOCs) bereit, um Organisationen dabei zu helfen, potenzielle Bedrohungen durch diesen hartnäckigen und sich entwickelnden Gegner zu identifizieren und zu mindern.

Ekhbary Nachrichtenagentur