Operation Honeybee: Angriff per Word-Dokument

Analysten von McAfee Advanced Threat Research haben eine neue Malwarekampagne entdeckt, die auf humanitäre Hilfsorganisationen abzielt. Nordkoreanische politische Themen werden als Köder benutzt, damit Opfer bösartige Microsoft Word-Dokumente öffnen.


Anzeige

Die Kampagne, die den Namen Operation Honeybee erhielt, ist im McAfee-Blog beschrieben. Der Name lehnt sich an ein Dokument an, welches in der Kampagne benutzt wurde. Die Sicherheitsanalysten haben zudem präparierte Dokumente des gleichen Akteurs entdeckt, die auf eine taktische Verschiebung hinweisen. Diese Dokumente enthalten nicht die typischen Köder dieses Akteurs, sondern verwenden Word-Kompatibilitätsnachrichten, um die Opfer dazu zu verleiten, sie zu öffnen.

Beobachtet wurde eine starke Konzentration der Angriffe im Zeitraum vom 15. bis 17. Januar 2018 in Vietnam. Die erste Operation wurde am 15. Januar 2018 in Form einer neuen Variante der SYSCON-Hintertür entdeckt. Das koreanischsprachige Word-Dokument manual.doc tauchte dann am 17. Januar 2018 in Vietnam mit dem ursprünglichen Autorennamen Honeybee auf.

Honeybee-Angriff
Quelle: McAfee

Das bösartige Word-Dokument enthält ein Visual-Basic-Makro als sogenannten Dropper. Dieser stellt eine aktualisierte Version von SYSCON dar. Syscon wurde 2017 in verseuchten Word-Dokumenten als Teil mehrerer Kampagnen mit nordkoreanischen Themen für Cyber-Angriffe verwendet. Das Visual Basic-Skript verwendet einen eindeutigen Schlüssel, um Daten zu verschlüsseln. Es lädt eine setup.cab herunter und bringt diese zur Ausführung. Diese installiert weitere infizierte Bibliotheken und BAT-Dateien (siehe obige Abbildung). Die Schadsoftware versucht eine Backdoor auf den angegriffenen Geräten zu installieren. Über diese Backdoor erhalten die Täter Zugriff auf die betreffenden Systeme der Opfer. Details sind hier nachzulesen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Operation Honeybee: Angriff per Word-Dokument

  1. nook sagt:

    Ich kann mir das Grinsen wieder nicht verkneifen, Danke GB ;-)

    "bösartige Microsoft Word-Dokumente"
    als Mailanhang
    und Klick

    Eine txt Datei hat auch schwarze Buchstaben auf weißem Grund.
    Ist denn das so schwer, wenn ich jeden Mist anklicken muss und mit Microsoft unterwegs bin?

Schreibe einen Kommentar zu nook Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.