Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Microsoft Office „im Sturm“ erobern

Geschrieben von Jason Hill | Jul 18, 2023 6:30:00 PM

Als „Storm-0978“ bekannte Bedrohungsakteure nutzen aktiv eine ungepatchte Schwachstelle zur Remote-Ausführung von Code in Microsoft Office und Windows HTML aus. Diese schwerwiegende Zero-Day-Schwachstelle mit einem CVSS-v3.1-Score von 8,3 und der Bezeichnung CVE-2023-36884 wurde über speziell gestaltete Microsoft Office-Dokumente ausgenutzt, die Opfer mithilfe von E-Mail-Ködern zum Öffnen verleitet. 

Storm-0978 zielt auf militärische und Regierungseinrichtungen in Europa und Nordamerika ab, mit E-Mails zum Thema „Ukrainian World Congress“ und „NATO“. Diese enthalten Links zu einer Website, auf der sich die gefährlichen Dokumente befinden. 

Sobald das Opfer das bösartige Office-Dokument öffnet, können die Bedrohungsakteure beliebigen Code auf den Zielsystemen ausführen und möglicherweise zusätzliche Payloads wie Remote-Access-Trojaner (RAT) oder Ransomware bereitstellen. 

Da diese Schwachstelle derzeit nicht behoben ist, könnten andere Bedrohungsakteure versuchen, ähnliche Bedrohungen mithilfe ähnlicher Taktiken und Techniken einzusetzen – beispielsweise die Übertragung bösartiger Dokumente per E-Mail-Anhänge, anstatt auf eine bösartige Website zu verlinken. 

Zum Zeitpunkt der Veröffentlichung wurde keine vollständige Liste der betroffenen Microsoft-Office- und Windows-Versionen bekanntgegeben. Es wird davon ausgegangen, dass aktuelle Office-, Windows- und Word-Versionen betroffen sind.

Wer ist Storm-0978? 

Storm-0978 – auch bekannt als „RomCom“, da sie zuvor das RomCom-RAT benutzt haben – ist Berichten zufolge eine cyberkriminelle Bande aus Russland, die mindestens seit 2022 aktiv ist. 

Die Gruppe hat bereits zuvor trojanisierte Versionen beliebter Software verwendet, um das RomCom-RAT zu verbreiten, und wurde auch mit den Ransomware-Bedrohungen „Trigona“ und „Underground“ in Verbindung gebracht. Letzteres ist möglicherweise eine Neuauflage von „Industrial Spy“. 

Wie es bei finanziell motivierten Bedrohungsakteuren häufig der Fall ist, scheinen frühere Angriffe auf die Telekommunikations- und Finanzbranche eher opportunistisch gewesen zu sein. Im Gegensatz dazu wirken ihre jüngsten Aktivitäten weitaus gezielter und sind möglicherweise sogar durch ein Spionageziel motiviert. 

Empfehlungen 

Bis zur Veröffentlichung eines Sicherheitsupdates außerhalb des Zyklus oder eines Updates im Rahmen des monatlichen Patch-Tuesday-Releases sollten Unternehmen die aktuellen Hinweise von Microsoft in ihrem Sicherheitsupdate-Leitfaden befolgen. Hier wird empfohlen, die Regel zur Reduzierung der Angriffsfläche „Blockieren aller Office-Anwendungen bei der Erstellung untergeordneter Prozesse“ in Microsoft Defender zu aktivieren. Oder Sie können den Registrierungsschlüssel FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION aktivieren. 

Bei diesen Änderungen ist es wichtig, dass Organisationen die Auswirkungen einer Änderung in der Registrierungsdatenbank berücksichtigen, da diese die Funktionalität von Anwendungen beeinträchtigen können. Unternehmen sollten auch in Betracht ziehen, einen proaktiven Ansatz zu verfolgen, indem sie die Veröffentlichung von Sicherheitsupdates außerhalb des Zyklus überwachen.

Darüber hinaus können Sie Zugriffsbeschränkungen für die Domänen und IP-Adressen implementieren, die im Abschnitt „Kompromittierungsindikatoren“ (Indicators Of Compromise, IOCs) aufgeführt sind. Dies verhindert nicht nur, dass Benutzer auf bösartige Inhalte zugreifen, sondern vereitelt auch potenzielle Command-and-Control-Aktivitäten.

Schließlich sollten Sie bei einem Verdacht auf einen gezielten Angriff Ihre Umgebung gründlich auf die unten aufgeführten IOCs überprüfen und sofort Maßnahmen zur Eindämmung und Behebung der festgestellten Bedrohungen ergreifen. Indem Sie diese Empfehlungen befolgen, können Sie die Sicherheitslage Ihres Unternehmens verbessern und den Schaden durch mögliche Sicherheitsvorfälle minimieren.

Kompromittierungsindikatoren (IOCs) 

IOC Typ Beschreibung

ukrainianworldcongress[.]info 

Domain 

Imitiert die legitime Domain ukrainianworldcongress[.]org 

%APPDATA%\Local\Temp\Temp1_<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.zip\2222.chm 

Dateipfad 

Opferspezifischer CHM-Payload mit file1.htm, file1.mht, fileH.htm, fileH.mht und INDEX.htm 

104.234.239[.]26 

IPv4 

Hostet C2 und weitere Payloads 

213.139.204[.]173 

IPv4 

Wird auf ukrainianworldcongress[.]info aufgelöst 

66.23.226[.]102 

IPv4 

Potenzielle Storm-0978 Infrastruktur (ähnliche Inhalte) 

74.50.94[.]156 

IPv4 

Hostet C2 und weitere Payloads 

94.232.40[.]34 

IPv4 

Potenzielle Storm-0978 Infrastruktur (ähnliche Inhalte) 

07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

SHA256 

Bösartiges Microsoft-Word-Dokument der zweiten Phase – file001.url 

07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

SHA256 

Bösartiges Microsoft-Word-Dokument der zweiten Phase – \\104.234.239[.]26\share1\MSHTML_C7\file001.url 

3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97 

SHA256 

Letter_NATO_Summit_Vilnius_2023_ENG.docx - Köder-Dokument 

a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f 

SHA256 

Overview_of_UWCs_UkraineInNATO_campaign.docx - Köder-Dokument  

ddf15e9ed54d18960c28fb9a058662e7a26867776af72900697400cb567c79be 

SHA256 

Schädliches Word-Dokument - hxxp://74.50.94[.]156/MSHTML_C7/doc_dld.asp?filename=<FILENAME.DOC> 

e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539 

SHA256 

afchunk.rtf - Exploit-Payload, der in die Köder-Dokumente eingebettet ist 

\\104.234.239[.]26\share1\MSHTML_C7\file001.url 

UNC-Pfad 

Microsoft-Word-Dokument der zweiten Phase - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

\\104.234.239[.]26\share1\MSHTML_C7\file001.url 

URL 

Microsoft-Word-Dokument der zweiten Phase - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

hxxp://104.234.239[.]26/share1/MSHTML_C7/1/<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.htm?d=<VICTIM_IP>_<5_CHAR_HEX_ID> 

URL 

Call Home, wird verwendet, um Payloads mit Opfer-IP/Identifikator zu generieren 

hxxp://104.234.239[.]26/share1/MSHTML_C7/1/<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.zip 

URL 

Für die IP-Adresse des Opfers generierter Payload 

hxxp://104.234.239[.]26/share1/MSHTML_C7/file001.url 

URL 

Microsoft-Word-Dokument der zweiten Phase - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d 

hxxp://66.23.226[.]102/MSHTML_C7/start.xml 

URL 

Potenzielle Storm-0978 Infrastruktur (ähnliche Inhalte) 

hxxp://74.50.94[.]156/MSHTML_C7/doc_dld.asp?filename=<FILENAME.DOC> 

URL 

Schädliches Word-Dokument - ddf15e9ed54d18960c28fb9a058662e7a26867776af72900697400cb567c79be 

hxxp://74.50.94[.]156/MSHTML_C7/o2010.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Für die IP-Adresse des Opfers generierter Payload 

hxxp://74.50.94[.]156/MSHTML_C7/RFile.asp 

URL 

Wird von start.xml referenziert, lädt den für die Opfer-IP generierten Inhalt 

hxxp://74.50.94[.]156/MSHTML_C7/start.xml 

URL 

Lädt RFile.asp 

hxxp://74.50.94[.]156/MSHTML_C7/zip_k.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Für die IP-Adresse des Opfers generierter Payload 

hxxp://74.50.94[.]156/MSHTML_C7/zip_k2.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Für die IP-Adresse des Opfers generierter Payload 

hxxp://74.50.94[.]156/MSHTML_C7/zip_k3.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ 

URL 

Für die IP-Adresse des Opfers generierter Payload 

hxxp://94.232.40[.]34/MSHTML_C7/start.xml 

URL 

Potenzielle Storm-0978 Infrastruktur (ähnliche Inhalte) 

hxxp://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Letter_NATO_Summit_Vilnius_2023_ENG.docx 

URL 

Köder-Dokument 

hxxps://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Overview_of_UWCs_UkraineInNATO_campaign.docx 

URL 

Köder-Dokument