Gamaredon-Malware: Neue VBA-Makros für Outlook

Die Hintermänner der Gamaredon-Hacker-Gruppe scheuen keine Mühen, neue Schadsoftware in Form von VBA-Makros für Outlook zu entwickeln. Sicherheitsforscher sind jetzt auf diese neuen Makros gestoßen.


Anzeige

Gamaredon ist der Name einer staatlich unterstützten Hacker-Gruppe (APT-Gruppe), die für verschiedene Malwareangriffe auf Microsoft Outlook und Office bekannt ist. Hier gibt es einige Informationen. Sicherheitsforscher haben kürzlich Verbindungen zwischen der schwer zu fassenden InvisiMole-Gruppe und der Gamaredon-Gruppe entdeckt.

Obigem Tweet entnehme ich, dass Sicherheitsforscher von ESET der Gamaredon-Gruppe erneut auf die Spur gekommen sind. In diesem deutschsprachigen Blog-Beitrag dokumentiert ESET neue Ansätze von schädlichen VBA-Makros.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Gamaredon-Malware: Neue VBA-Makros für Outlook

  1. Florian sagt:

    Typo: ATP > APT.
    Liebe Grüße, Florian

  2. Dekre sagt:

    Es geht wohl nicht nur um Outlook, sondern es kommt über E-Mail auf den PC bzw. PC-Systeme. Hier stellt sich die Frage des wirksamen Schutz in Outlook und den anderen Office-Programmen. Im Artikel von ESET steht:
    # es kommt durch die Verwendung von Outlook-Makros zur Verbreitung,

    Dazu müsste mE im Outlook-Programm im Sicherheitscenter/ Trust-Center die Makroausführung aktiviert sein, damit es sich ausbreiten kann.
    Erst dann kann dann das Ding loslegen. Erst dann kann das Ding die Makro-Einstellungen in den anderen Office-Programmen ändern.

    Oder sehe ich da was nicht richtig?

  3. Chris sagt:

    Was ich aktuell nicht nachvollziehen kann ist das sich die Malware, wenn Sie mal ein System befallen hat, über eine Mail an die Outlook Adressbucheinträge mit einer .docx Datei im Anhang weiter verbreiten soll. Docx soll per Definition keine Macros enthalten "können", weswegen mir nichr ganz klar ist wie die Weiterverbreitung technisch funktionieren soll.

    • Dekre sagt:

      Eset beschreibt es, siehe den Link. Wenn ich es richtig verstanden habe:
      # Es kommt ein E-Mail mit VBA-Makro. Kein WORD-Anhang oder so was.
      # Ist die Sicherheitseinstellung in Outlook so, dass Makros ausgeführt werden dürfen, so legt es los. (Das ist auch meine Frage.)
      # Dann ändert es die Office-Einstellungen in den anderen Programmen, Word, Excel etc und auch in Outlook selbst (Makro-Ausführung gestattet) und verschickt dann E-Mails mit Word-Datei (Makro) in der Unternehmensumgebung (Firmennetzwerk) an alle Mitarbeiter etc und sonstige Leute.
      # Dann hat man das/ die Systeme übernommen und macht die eigentliche Arbeit (Datenklau, Datenverschlüsselung, Zerstörung etc.).

      Un da ist es wieder: VBA-Programmierung und Makros. Eine sehr gute Lösung in Office. Es kann die Arbeit einfacher machen. Es eignet sich auch für die Übernahme von PC-Systeme.

      • Chris sagt:

        Ich verstehe das anders:

        Das VBA Macro kommt bei der Erstinfektion zu tragen, darauf aufbauend werden durch setzen der Registryeinträge die Schutzfunktionen deaktiviert (geht das überhaupt auf normaler Benutzerebene ohne Adminrechte?). Dann scannt das VBA Script das Adressbuch und versendet die Malware an alle Einträge mit .docx oder einer .lnk Datei im Anhang.

        Beispielfoto im Artikel:

        Das Script:
        https://www.welivesecurity.com/wp-content/uploads/2020/06/Figure-2-768×146.png

        Das Ergebnis in Outlook:
        https://www.welivesecurity.com/wp-content/uploads/2020/06/Figure-3-768×506.png

        Und das ist der Teil der mich irritiert, eine .lnk Datei zur Weiterverbreitung kann ich nachvollziehen, aber eben nicht eine .docx Datei die gar keine ausführbaren Macros oder Scripte enthalten dürfte.

        In der Regel blockt man .doc und .docm (das m steht für die Möglichkeit Macros im Dokument einzubinden) als Anhang und lässt .docx durch, eben weil .docx keine Macros enthalten kann. Wenn sich Malware jetzt aber auch über .docx verbreiten kann, dann gehört es als Anhang zukünftig geblockt, und zwar nicht nur bei "externen" Mails sondern auch bei der internen Kommunikation.

        • Dekre sagt:

          Das mit *.docx ist nur so, weil ab WORD 2013 die Doc-Datei nun DOCX-Datei heißt. Das hängt mit der Komprimierung zusammen, neues Dateiformat. Ich denke, dass man eine .docm-Datei auch umbenennen kann in docx-Datei, ohne dass das Makro verloren geht.

          Ansonsten hast Du die gleiche Frage zum Einfallstor wie ich. Die entscheidende Frage ist die der Abwehr.

          • johnripper sagt:

            Abwehr=Makros deaktivieren ?

          • Dekre sagt:

            Ja, aber reicht das? Die Einstellungen in Office 2013 sind in Outlook und in den anderen Office-Anwendungen (WORD …) unterschiedlich. Das Problem ist Outlook, da Einfallstor. Bei Outlook ist das Thema "Signatur". Wenn diese über staatliche APT-Gruppen kommen, so wäre wohl auch eine Fälschung möglich, sofern die Angreifer Signaturen im E-Mail verwenden.

Schreibe einen Kommentar zu Chris Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.