{"id":260159,"date":"2021-12-04T00:30:01","date_gmt":"2021-12-03T23:30:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260159"},"modified":"2021-12-24T02:12:02","modified_gmt":"2021-12-24T01:12:02","slug":"phishing-angriffe-von-staatshackern-ber-neue-rtf-template-injection-technik","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/04\/phishing-angriffe-von-staatshackern-ber-neue-rtf-template-injection-technik\/","title":{"rendered":"Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Und schon sind wir beim vierten T\u00fcrchen im Security-Adventskalender meines Blogs und ich schiebe mal ein weiteres Sicherheitsthema hinter dieses T\u00fcrchen. Der Sicherheitsanbieter Proof Point hat 2021 drei APT-Akteure aus Indien, Russland und China dabei beobachtet, wie sie eine neuartige RTF-Template-Injection-Technik f\u00fcr Phishing-Anh\u00e4nge einsetzen, um b\u00f6sartige Inhalte von einer entfernten URL abrufen.<\/p>\n

<\/p>\n

\"\"Sicherheitsforscher von Proofpoint haben 2021 beobachtet, dass APT-Bedrohungsakteure im zweiten und dritten Quartal 2021 eine neuartige und leicht zu implementierende Technik f\u00fcr Phishing-Anh\u00e4nge eingesetzt haben. Diese, als RTF-Template Injection bezeichnete, Technik nutzt die legitime RTF-Vorlagen f\u00fcr b\u00f6sartige Angriffe aus. Sie erm\u00f6glicht den Abruf einer URL-Ressource anstelle einer Dateiressource \u00fcber die Steuerwortfunktion einer RTF-Vorlage.<\/p>\n

\"Loading
\nLaden b\u00f6sartiger Inhalte \u00fcber die RTF-Vorlagedatei, Quelle: Proof Point<\/p>\n

Auf diese Weise kann ein Bedrohungsakteur ein legitimes Dateiziel durch eine URL ersetzen, von der eine Remote-Nutzlast abgerufen werden kann. Im Blog-Beitrag Injection is the New Black: Novel RTF Template Inject Technique Poised for Widespread Adoption\u202fBeyond APT Actors\u202f<\/a> beschreibt Proof Point seine Beobachtungen.<\/p>\n

RTF Template Injection<\/h2>\n

RTF-Template Injection ist eine einfache Technik, bei der eine RTF-Datei so manipuliert werden kann, dass beim \u00d6ffnen Inhalte von einer externen URL abgerufen werden k\u00f6nnen. Durch \u00c4ndern der Dokumentformatierungseigenschaften einer RTF-Datei, insbesondere des Dokumentformatierungs-Steuerworts f\u00fcr die \"\\*\\template\"-Struktur, k\u00f6nnen Akteure eine RTF-Datei als Waffe einsetzen, um Remote-Inhalte abzurufen, indem sie eine URL-Ressource statt eines zug\u00e4nglichen Dateiressourcen-Ziels angeben. Nachfolgender Dump zeigt eine solche Injektion einer URL in einer RT-Datei.<\/p>\n

\"RTF-Template
\nManipulierte RTF-Template-Datei, Quelle: Proof Point<\/p>\n

Die f\u00fcr diese Ver\u00f6ffentlichung analysierten RTF-Vorlagendateien mit injizierten externen URLs haben derzeit eine niedrigere Erkennungsrate durch Antivirenprogramme – zumindest im Vergleich zur bekannten Office-basierten Vorlageninjektionstechnik. Proofpoint hat verschiedene Phishing-Kampagnen identifiziert, bei denen diese Technik zum Einsatz kommt und die verschiedenen APT-Bedrohungsakteuren zugeschrieben werden. W\u00e4hrend diese Technik unter APT-Akteuren in verschiedenen L\u00e4ndern die Runde zu machen scheint, vermutet Proofpoint aufgrund des j\u00fcngsten Anstiegs ihrer Nutzung und der Trivialit\u00e4t ihrer Implementierung, dass sie bald von Cyberkriminellen \u00fcbernommen werden k\u00f6nnte. Details lassen sich dem verlinkten Proofpoint-Artikel entnehmen.<\/p>\n

Artikel des Security-Adventskalenders
\n<\/strong>1.\u00a0Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a>
\n2.\u00a0Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a>
\n3.\u00a0Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a>
\n4.\u00a0Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\n5.\u00a0BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a>
\n6.\u00a0Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a>
\n7.\u00a0Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a>
\n8.\u00a0Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a>
\n9.\u00a0Hellmann Logistics Opfer eines Cyberangriffs<\/a>
\n10.\u00a0Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a>
\n11.\u00a0Malware in Android Apps am Beispiel von GriftHorse<\/a>
\n12.\u00a0Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a>
\n13.\u00a0Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a>
\n14.\u00a0Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a>
\n15.\u00a0Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a>
\n16:\u00a0H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a>
\n17: Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n18:\u00a0Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a>
\n19:\u00a0Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a>
\n20:\u00a0CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a>
\n21:\u00a0Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a>
\n22:\u00a0Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a>
\n23:\u00a0BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a>
\n24:\u00a0Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Und schon sind wir beim vierten T\u00fcrchen im Security-Adventskalender meines Blogs und ich schiebe mal ein weiteres Sicherheitsthema hinter dieses T\u00fcrchen. Der Sicherheitsanbieter Proof Point hat 2021 drei APT-Akteure aus Indien, Russland und China dabei beobachtet, wie sie eine neuartige … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-260159","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260159","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260159"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260159\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260159"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260159"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260159"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}