Die Hintermänner der Gamaredon-Hacker-Gruppe scheuen keine Mühen, neue Schadsoftware in Form von VBA-Makros für Outlook zu entwickeln. Sicherheitsforscher sind jetzt auf diese neuen Makros gestoßen.
Anzeige
Gamaredon ist der Name einer staatlich unterstützten Hacker-Gruppe (APT-Gruppe), die für verschiedene Malwareangriffe auf Microsoft Outlook und Office bekannt ist. Hier gibt es einige Informationen. Sicherheitsforscher haben kürzlich Verbindungen zwischen der schwer zu fassenden InvisiMole-Gruppe und der Gamaredon-Gruppe entdeckt.
@etguenni
mal wieder Gamaredon…https://t.co/gL8bBqTj0l— RePao (@RePao) June 24, 2020
Obigem Tweet entnehme ich, dass Sicherheitsforscher von ESET der Gamaredon-Gruppe erneut auf die Spur gekommen sind. In diesem deutschsprachigen Blog-Beitrag dokumentiert ESET neue Ansätze von schädlichen VBA-Makros.
Anzeige
Typo: ATP > APT.
Liebe Grüße, Florian
Danke, ist korrigiert – immer die dummen Finger … die anders tippen als das Gehirn vorgibt.
Es geht wohl nicht nur um Outlook, sondern es kommt über E-Mail auf den PC bzw. PC-Systeme. Hier stellt sich die Frage des wirksamen Schutz in Outlook und den anderen Office-Programmen. Im Artikel von ESET steht:
# es kommt durch die Verwendung von Outlook-Makros zur Verbreitung,
Dazu müsste mE im Outlook-Programm im Sicherheitscenter/ Trust-Center die Makroausführung aktiviert sein, damit es sich ausbreiten kann.
Erst dann kann dann das Ding loslegen. Erst dann kann das Ding die Makro-Einstellungen in den anderen Office-Programmen ändern.
Oder sehe ich da was nicht richtig?
Was ich aktuell nicht nachvollziehen kann ist das sich die Malware, wenn Sie mal ein System befallen hat, über eine Mail an die Outlook Adressbucheinträge mit einer .docx Datei im Anhang weiter verbreiten soll. Docx soll per Definition keine Macros enthalten "können", weswegen mir nichr ganz klar ist wie die Weiterverbreitung technisch funktionieren soll.
Eset beschreibt es, siehe den Link. Wenn ich es richtig verstanden habe:
# Es kommt ein E-Mail mit VBA-Makro. Kein WORD-Anhang oder so was.
# Ist die Sicherheitseinstellung in Outlook so, dass Makros ausgeführt werden dürfen, so legt es los. (Das ist auch meine Frage.)
# Dann ändert es die Office-Einstellungen in den anderen Programmen, Word, Excel etc und auch in Outlook selbst (Makro-Ausführung gestattet) und verschickt dann E-Mails mit Word-Datei (Makro) in der Unternehmensumgebung (Firmennetzwerk) an alle Mitarbeiter etc und sonstige Leute.
# Dann hat man das/ die Systeme übernommen und macht die eigentliche Arbeit (Datenklau, Datenverschlüsselung, Zerstörung etc.).
Un da ist es wieder: VBA-Programmierung und Makros. Eine sehr gute Lösung in Office. Es kann die Arbeit einfacher machen. Es eignet sich auch für die Übernahme von PC-Systeme.
Ich verstehe das anders:
Das VBA Macro kommt bei der Erstinfektion zu tragen, darauf aufbauend werden durch setzen der Registryeinträge die Schutzfunktionen deaktiviert (geht das überhaupt auf normaler Benutzerebene ohne Adminrechte?). Dann scannt das VBA Script das Adressbuch und versendet die Malware an alle Einträge mit .docx oder einer .lnk Datei im Anhang.
Beispielfoto im Artikel:
Das Script:
https://www.welivesecurity.com/wp-content/uploads/2020/06/Figure-2-768×146.png
Das Ergebnis in Outlook:
https://www.welivesecurity.com/wp-content/uploads/2020/06/Figure-3-768×506.png
Und das ist der Teil der mich irritiert, eine .lnk Datei zur Weiterverbreitung kann ich nachvollziehen, aber eben nicht eine .docx Datei die gar keine ausführbaren Macros oder Scripte enthalten dürfte.
In der Regel blockt man .doc und .docm (das m steht für die Möglichkeit Macros im Dokument einzubinden) als Anhang und lässt .docx durch, eben weil .docx keine Macros enthalten kann. Wenn sich Malware jetzt aber auch über .docx verbreiten kann, dann gehört es als Anhang zukünftig geblockt, und zwar nicht nur bei "externen" Mails sondern auch bei der internen Kommunikation.
Das mit *.docx ist nur so, weil ab WORD 2013 die Doc-Datei nun DOCX-Datei heißt. Das hängt mit der Komprimierung zusammen, neues Dateiformat. Ich denke, dass man eine .docm-Datei auch umbenennen kann in docx-Datei, ohne dass das Makro verloren geht.
Ansonsten hast Du die gleiche Frage zum Einfallstor wie ich. Die entscheidende Frage ist die der Abwehr.
Abwehr=Makros deaktivieren ?
Ja, aber reicht das? Die Einstellungen in Office 2013 sind in Outlook und in den anderen Office-Anwendungen (WORD …) unterschiedlich. Das Problem ist Outlook, da Einfallstor. Bei Outlook ist das Thema "Signatur". Wenn diese über staatliche APT-Gruppen kommen, so wäre wohl auch eine Fälschung möglich, sofern die Angreifer Signaturen im E-Mail verwenden.