Operation Honeybee: Angriff per Word-Dokument

Analysten von McAfee Advanced Threat Research haben eine neue Malwarekampagne entdeckt, die auf humanitäre Hilfsorganisationen abzielt. Nordkoreanische politische Themen werden als Köder benutzt, damit Opfer bösartige Microsoft Word-Dokumente öffnen.

Die Kampagne, die den Namen Operation Honeybee erhielt, ist im McAfee-Blog beschrieben. Der Name lehnt sich an ein Dokument an, welches in der Kampagne benutzt wurde. Die Sicherheitsanalysten haben zudem präparierte Dokumente des gleichen Akteurs entdeckt, die auf eine taktische Verschiebung hinweisen. Diese Dokumente enthalten nicht die typischen Köder dieses Akteurs, sondern verwenden Word-Kompatibilitätsnachrichten, um die Opfer dazu zu verleiten, sie zu öffnen.

Beobachtet wurde eine starke Konzentration der Angriffe im Zeitraum vom 15. bis 17. Januar 2018 in Vietnam. Die erste Operation wurde am 15. Januar 2018 in Form einer neuen Variante der SYSCON-Hintertür entdeckt. Das koreanischsprachige Word-Dokument manual.doc tauchte dann am 17. Januar 2018 in Vietnam mit dem ursprünglichen Autorennamen Honeybee auf.

Quelle: McAfee

Das bösartige Word-Dokument enthält ein Visual-Basic-Makro als sogenannten Dropper. Dieser stellt eine aktualisierte Version von SYSCON dar. Syscon wurde 2017 in verseuchten Word-Dokumenten als Teil mehrerer Kampagnen mit nordkoreanischen Themen für Cyber-Angriffe verwendet. Das Visual Basic-Skript verwendet einen eindeutigen Schlüssel, um Daten zu verschlüsseln. Es lädt eine setup.cab herunter und bringt diese zur Ausführung. Diese installiert weitere infizierte Bibliotheken und BAT-Dateien (siehe obige Abbildung). Die Schadsoftware versucht eine Backdoor auf den angegriffenen Geräten zu installieren. Über diese Backdoor erhalten die Täter Zugriff auf die betreffenden Systeme der Opfer. Details sind hier nachzulesen.