Weniger als 48 Stunden nach der Veröffentlichung eines dringenden Sicherheitsupdates für Microsoft Office haben staatlich unterstützte Hacker eine kritische Schwachstelle ausgenutzt. Die Gruppe, bekannt als APT28, zielte auf diplomatische, maritime und Transportorganisationen in mindestens neun Ländern ab. Die Geschwindigkeit und Raffinesse des Angriffs unterstreicht die Notwendigkeit schneller Patch-Implementierungen.
Wichtige Erkenntnisse
- APT28 nutzte eine Microsoft Office Schwachstelle (CVE-2026-21509) innerhalb von 48 Stunden aus.
- Ziel waren diplomatische, maritime und Transportorganisationen in neun Ländern.
- Die Angreifer setzten zwei neue Backdoors namens BeardShell und NotDoor ein.
- Die Kampagne war auf Tarnung ausgelegt, mit speicherbasierten Exploits und legitimen Cloud-Diensten.
- Experten betonen die Dringlichkeit, kritische Systeme schnell zu patchen.
Schnelle Reaktion nach Microsoft-Patch
Microsoft hatte Ende letzten Monats ein unplanmäßiges, dringendes Sicherheitsupdate veröffentlicht. Dieses Update sollte die Schwachstelle CVE-2026-21509 in Microsoft Office beheben. Doch die Hacker, die unter Namen wie APT28, Fancy Bear und Forest Blizzard bekannt sind, reagierten extrem schnell. Sie analysierten den Patch und entwickelten innerhalb von zwei Tagen einen eigenen Exploit.
Dieser hochentwickelte Exploit ermöglichte es den Angreifern, sich Zugang zu den Systemen der Zielorganisationen zu verschaffen. Sie installierten dabei zwei bisher unbekannte Backdoor-Implantate, die als BeardShell und NotDoor bezeichnet werden. Diese Geschwindigkeit zeigt, wie schnell staatlich unterstützte Akteure neue Schwachstellen ausnutzen können.
Faktencheck: APT28
- Bekannte Namen: Fancy Bear, Sednit, Forest Blizzard, Sofacy.
- Aktivitäten: Cyber-Spionage, Einflussoperationen.
- Merkmale: Mehrstufige Malware, umfangreiche Verschleierung, Missbrauch von Cloud-Diensten, gezielte E-Mail-Systeme.
Ziele und Methoden der Angreifer
Die 72-stündige Spear-Phishing-Kampagne begann am 28. Januar. Dabei wurden mindestens 29 verschiedene E-Mail-Köder an Organisationen in neun Ländern gesendet, hauptsächlich in Osteuropa. Zu den betroffenen Ländern gehören Polen, Slowenien, die Türkei, Griechenland, die Vereinigten Arabischen Emirate, die Ukraine, Rumänien und Bolivien.
Die Angriffe konzentrierten sich auf spezifische Sektoren. Etwa 40 Prozent der Ziele waren Verteidigungsministerien. Transport- und Logistikunternehmen machten 35 Prozent aus, während diplomatische Einrichtungen 25 Prozent der Angriffe erlitten. Die Auswahl der Ziele deutet auf eine gezielte Spionagekampagne hin.
„Die Nutzung von CVE-2026-21509 zeigt, wie schnell staatlich unterstützte Akteure neue Schwachstellen bewaffnen können, wodurch das Zeitfenster für Verteidiger zum Patchen kritischer Systeme schrumpft.“
Tarnung und Verschleierung
Die gesamte Kampagne war darauf ausgelegt, die Kompromittierung so unauffällig wie möglich zu gestalten. Die Exploits und Payloads waren verschlüsselt und liefen im Speicher. Dies erschwerte die Erkennung durch Endpunktschutzlösungen erheblich. Die anfängliche Infektion erfolgte über bereits kompromittierte Regierungskonten. Diese Konten waren den Empfängern der E-Mails wahrscheinlich vertraut, was die Erfolgsquote erhöhte.
Die Angreifer nutzten zudem legitime Cloud-Dienste für ihre Command-and-Control-Kanäle. Solche Dienste sind in sensiblen Netzwerken oft auf Positivlisten, was die Entdeckung weiter erschwert. Die modulare Infektionskette, von der Phishing-E-Mail über die speicherbasierte Backdoor bis zu sekundären Implantaten, war darauf ausgelegt, vertrauenswürdige Kanäle und dateilose Techniken zu nutzen, um unentdeckt zu bleiben.
Hintergrund: Dateilose Angriffe
Dateilose Angriffe sind eine Art von Cyberangriffen, die keine ausführbaren Dateien auf der Festplatte des Opfers hinterlassen. Stattdessen nutzen sie legitime Systemtools und Skripte, die direkt im Arbeitsspeicher ausgeführt werden. Dies macht die Erkennung durch traditionelle Antivirenprogramme schwierig, da keine Dateisignaturen vorhanden sind, die gescannt werden könnten.
Die Backdoors: BeardShell und NotDoor
Die Infektionskette führte zur Installation von zwei neuen Backdoors. Trellix gab ihnen die Namen BeardShell und NotDoor. Beide Implantate dienten unterschiedlichen Zwecken, um den Angreifern umfassenden Zugriff und Persistenz zu ermöglichen.
BeardShell: Systemerkundung und Persistenz
BeardShell verschaffte der Gruppe umfassende Systemerkundungsmöglichkeiten. Es ermöglichte die Persistenz, indem es Prozesse in Windows svchost.exe injizierte. Dies öffnete den Weg für die laterale Bewegung innerhalb des infizierten Netzwerks. Das Implantat wurde durch dynamisch geladene .NET-Assemblies ausgeführt. Diese Methode hinterließ keine forensischen Artefakte auf der Festplatte, abgesehen vom Arbeitsspeicher, der durch die Code-Injektion belegt war.
NotDoor: E-Mail-Überwachung und Datenexfiltration
NotDoor wurde in Form eines VBA-Makros installiert. Dies geschah erst, nachdem die Exploit-Kette die Makrosicherheitskontrollen von Outlook deaktiviert hatte. Nach der Installation überwachte das Implantat E-Mail-Ordner wie Posteingang, Entwürfe, Junk-Mail und RSS-Feeds. Es bündelte Nachrichten in einer Windows .msg-Datei, die dann an Angreifer-kontrollierte Konten auf dem Cloud-Dienst filen.io gesendet wurde.
Um Sicherheitskontrollen für hochprivilegierte Konten zu umgehen, die den Zugriff auf klassifizierte Nachrichten und andere sensible Dokumente einschränken sollen, verarbeitete das Makro E-Mails mit einer benutzerdefinierten „AlreadyForwarded“-Eigenschaft. Es setzte „DeleteAfterSubmit“ auf „true“, um weitergeleitete Nachrichten aus dem Ordner „Gesendete Elemente“ zu löschen. Dies verhinderte, dass die Weiterleitung bemerkt wurde.
Zuschreibung und Warnungen
Trellix schreibt die Kampagne mit „hoher Sicherheit“ APT28 zu. Diese Einschätzung basiert auf technischen Indikatoren und der Auswahl der Ziele. Auch das ukrainische CERT-UA hat die Angriffe UAC-0001 zugeschrieben, einem Tracking-Namen, der APT28 entspricht.
Die Handelsstrategie dieser Kampagne – mehrstufige Malware, umfangreiche Verschleierung, Missbrauch von Cloud-Diensten und die gezielte Nutzung von E-Mail-Systemen zur Persistenz – spiegelt einen gut ausgestatteten, fortgeschrittenen Gegner wider, der mit dem Profil von APT28 übereinstimmt. Das Toolset und die Techniken stimmen ebenfalls mit dem Fingerabdruck von APT28 überein.
Trellix hat eine umfassende Liste von Indikatoren bereitgestellt, die Organisationen nutzen können, um festzustellen, ob sie angegriffen wurden. Dies ist entscheidend, um die Bedrohung schnell zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.
- Priorität: Dringende Sicherheitsupdates sofort installieren.
- Schulung: Mitarbeiter für Spear-Phishing-Angriffe sensibilisieren.
- Überwachung: Netzwerke und Endpunkte kontinuierlich auf ungewöhnliche Aktivitäten überwachen.
- Cloud-Sicherheit: Cloud-Dienste auf verdächtige Nutzung überprüfen.
Die jüngsten Angriffe zeigen, dass Unternehmen und Regierungen ihre Verteidigungsstrategien ständig anpassen müssen. Die Bedrohungslandschaft entwickelt sich rasant, und die Zeit zwischen der Veröffentlichung eines Patches und seiner Ausnutzung wird immer kürzer. Proaktives Handeln ist daher unerlässlich.
