Studie: Angreifer nutzen Zero-Day-Schwachstelle aus

18. Oktober 2021

Cyberkriminelle nutzen Cloud-Anbieter, um Malware zu hosten + HP Inc. analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.

Das HP Forschungsteam stellte unter anderem fest, dass Cyberkriminelle Zero-Day-Schwachstellen ausnutzen. So wurde die Zero-Day-Schwachstelle CVE-2021-40444[i], die die MSHTML-Browser-Engine mit Microsoft Office-Dokumenten bei der Ausführung von Remote-Code gefährdet – von HP erstmals am 8. September entdeckt, eine Woche vor der Bereitstellung des Patches am 14. September.

Am 10. September – nur drei Tage nach dem ersten Threat Bulletin – erkannte das HP Forschungsteam, dass Skripte zur automatischen Erstellung dieses Exploits auf GitHub geteilt wurden. Ein großes Risiko, denn ohne Patch ist es Angreifern möglich, Endgeräte mit nur geringer Benutzerinteraktion zu kompromittieren. Der Exploit verwendet dafür eine bösartige Archivdatei, die die Malware über ein Office-Dokument verbreitet. Die Datei muss nicht geöffnet oder Makros aktiviert werden. Es reicht aus, sie im Vorschaufenster des Datei-Explorers anzuzeigen, um den Angriff zu starten – unbemerkt vom Nutzer. Sobald das Gerät kompromittiert ist, ermöglicht es Angreifern, Hintertüren in die System einzubauen. Diese lassen sich dann an Ransomware-Gruppen verkaufen.

Die wichtigsten Bedrohungen, die von HP Wolf Security isoliert wurden, sind unter anderem: 

• Immer mehr Cyberkriminelle nutzen legitime Cloud- und Web-Anbieter, um Malware zu hosten: Eine kürzlich durchgeführte GuLoader-Kampagne hostete den Remote Access Trojaner (RAT) Remcos auf großen Plattformen wie OneDrive, um Intrusion Detection Systeme zu umgehen und Whitelisting-Tests zu bestehen. HP Wolf Security entdeckte außerdem verschiedene Malware, die auf Social Media-Plattformen für Spiele wie Discord gehostet wurden.
• JavaScript-Malware entgeht Erkennungstools: Verschiedene JavaScript-RATs werden zunehmend über bösartige E-Mail-Anhänge verbreitet, da JavaScript-Downloader seltener als Office-Downloader oder Binärdateien erkannt werden. RATs werden dazu immer häufiger genutzt, um Anmeldeinformationen für Geschäftskonten oder Krypto-Wallets zu stehlen.
• Der Wechsel zu HTA-Dateien verbreitet die Malware mit einem einzigen Klick: Der Trickbot-Trojaner wird über HTA-Dateien (HTML-Anwendung) verbreitet, die die Malware verbreiten, sobald der Anhang oder die Datei, die sie enthält, geöffnet wird. Aufgrund des ungewöhnlichen Dateityps ist die Wahrscheinlichkeit geringer, dass bösartige HTA-Dateien von Erkennungstools erkannt werden.

Weitere Ergebnisse:

• Zwölf Prozent der isolierten E-Mail-Malware hatte mindestens einen Gateway-Scanner umgangen.
• 89 Prozent der entdeckten Malware wurde per E-Mail übertragen, 11 Prozent per Internet-Downloads und weniger als ein Prozent durch andere Überträger wie Wechseldatenträger.
• Die häufigsten Anhänge, die zur Verbreitung von Malware verwendet wurden, waren Archivdateien (38 Prozent, verglichen mit 17,26 Prozent im letzten Quartal), Word-Dokumente (23 Prozent), Tabellen (17 Prozent) und ausführbare Programmdateien (16 Prozent).
• Die fünf häufigsten Phishing-Köder waren Geschäftstransaktionen mit Schlagwörtern wie „Bestellung“, „Zahlung“, „Neu“, „Angebot“ und „Anfrage“.
• Zwölf Prozent der entdeckten Malware war bisher unbekannt.[iii]

 

[1] Microsoft credited security researchers Rick Cole (MSTIC), Dhanesh Kizhakkinan of Mandiant, Haifei Li of EXPMON, and Bryce Abdo of Mandiant for discovering the zero-day vulnerability.

[2] Assumptions based on HP internal analysis of customer reported insights and installed base.

[3] Based on first-seen in the wild data from multiple antivirus engines.

[4] Based on HP’s unique and comprehensive security capabilities at no additional cost among vendors on HP Elite PCs with Windows and 8th Gen and higher Intel® processors or AMD Ryzen™ 4000 processors and higher; HP ProDesk 600 G6 with Intel® 10th Gen and higher processors; and HP ProBook 600 with AMD Ryzen™ 4000 or Intel® 11th Gen processors and higher.

[5] HP’s most advanced embedded security features are available on HP Enterprise and HP Managed devices with HP FutureSmart firmware 4.5 or above. Claim based on HP review of 2021 published features of competitive in-class printers. Only HP offers a combination of security features to automatically detect, stop, and recover from attacks with a self-healing reboot, in alignment with NIST SP 800-193 guidelines for device cyber resiliency. For a list of compatible products, visit: hp.com/go/PrintersThatProtect. For more information, visit: hp.com/go/PrinterSecurityClaims.

[6] HP Security is now HP Wolf Security. Security features vary by platform, please see product data sheet for details.