Foto: Thaspol Sangsee - shutterstock.com
Bedrohungsakteure nutzen Makros, die automatisch Skripte ausführen, schon seit Jahren, um Malware bei ahnungslosen Benutzern einzuschleusen. Die Makros werden dabei im Hintergrund ausgeführt und installieren Malware oder stellen eine Verbindung zu einem Befehls- und Kontrollserver her, der Malware herunterlädt.
Makros werden zwar in den neuesten Versionen von Microsoft Office nicht mehr automatisch ausgeführt. Das Team von Cisco Talos hat jedoch Hinweise gefunden, dass Bedrohungsakteure immer noch versuchen, diese Funktion in älterer Software auszunutzen.
In ihrem Blog erklärten die Talos-Forscher, sie hätten auf der Malware-Test-Website Virus Total mehrere mit Makros infizierte Dokumente gefunden , die von einem Framework namens MacroPack erstellt worden waren. Die Dateien könnten mehrere Payloads enthalten, darunter die Post-Exploitation-Frameworks Havoc und Brute Ratel sowie eine neue Variante des Remote-Access-Trojaners PhantomCore.
Havoc und Brute Ratel sind Tools, die für Penetrationstester entwickelt wurden, heißt es in dem Bericht. Tools, die für Tester und Verteidiger entwickelt wurden, werden jedoch regelmäßig von Bedrohungsakteuren eingesetzt. Das beste Beispiel dafür ist das Tool Cobalt Strike.
Ein gemeinsames Merkmal aller bösartigen Dokumente, die Cisco Talos auseinandergenommen hat, ist das Vorhandensein von vier nicht-bösartigen VBA-Unterprogrammen. Diese Unterroutinen kamen in allen Beispielen vor und waren nicht verschleiert. "Die Einbeziehung des gutartigen Codes dürfte den Verdacht auf den von MacroPack generierten Code verringern", vermuten die Talos-Forscher.
Handelt es sich um eine neue Malware-Kampagne eines Bedrohungsakteurs? MacroPack ist ein Framework, das für Red Teams entwickelt wurde, um die Verteidigungsmaßnahmen von Unternehmen zu testen. In der Tat konnten die Forscher bestätigen, dass einige der Beispiele Teil von Red Team-Aktivitäten waren. Andere enthielten jedoch bestimmte Taktiken und Techniken, die bösartig erscheinen.
Zumindest, so Cisco, sollten Sicherheitsexperten die Entdeckung als Mahnung nehmen, ihre Office-Suiten auf die neueste Version zu aktualisieren.
Während Verteidiger VirusTotal nutzen, um verdächtige Dokumente hochzuladen, kann ein Bedrohungsakteur die Website nutzen, um zu prüfen, ob eine Antiviren-Engine von ihm erstellte Malware erkennen kann.
Lesetipp: Weltweite Störung bei Microsoft-Diensten
Vier verdächtige Gruppen von Dokumenten
Zu den verdächtigen Dokumenten, die von Cisco Talos gefunden wurden, gehören
ein angeblich verschlüsseltes Verlängerungsdokument des US Nationwide Multistate Licensing Systems and Registry, das Lizenzen von US-Hypothekenunternehmen verwaltet. Das auf VirusTotal hochgeladene Beispiel stammt aus dem März 2023;
ein Cluster von drei Dateien, die im Mai und Juni 2024 von IP-Adressen in China, Taiwan und Pakistan auf VirusTotal hochgeladen wurden. Sie haben ähnliche Köder, die auf Benutzer abzielen, mit einem generischen Word-Dokument, das die Aufforderung enthält, "Inhalte zu aktivieren" - mit anderen Worten, die Ausführung eines Makros zu ermöglichen. Alle Befehls- und Kontroll-IP-Adressen für die Nutzdaten gehen an einen Server in der chinesischen Provinz Henan;
eine Reihe von Dokumenten mit militärischen Themen, die mit Pakistan in Verbindung stehen. In dem einen Dokument wurde behauptet, dass neue Auszeichnungen für bestimmte Offiziersränge in der pakistanischen Luftwaffe angekündigt würden. Das andere gab vor, ein vertrauliches Dokument für eine bestimmte Person zu sein, in dem deren Beschäftigung als ziviler Forschungsoffizier im Cyberteam der pakistanischen Luftwaffe bestätigt wurde;
eine leere Excel-Arbeitsmappe, die von einer russischen IP-Adresse zu VirusTotal hochgeladen wurde. Das Makro startet eine neue Instanz von Excel mit einer neuen Arbeitsmappe, die versucht, eine Datei von einem Server herunterzuladen und auszuführen. Auf diesem Server befand sich ein Beispiel für die Golang-basierte PhantomCore-Backdoor. Laut Cisco Talos haben Forscher von Kaspersky diese Backdoor einem ukrainischen Hacktivisten zugeschrieben, der angeblich versucht, russische Regierungs- und Privatunternehmen auszuspionieren.
Microsoft hat versucht, die Taktik mit untergeschobenen Makros auf zwei Arten zu unterbinden:
Office-Administratoren und -Benutzer werden aufgefordert, die automatische Ausführung von Makros zu deaktivieren, so dass die Benutzer erst auf eine Warnung klicken müssen, oder es wird sichergestellt, dass die Benutzer Makros nicht aktivieren können. Es bleibt zu hoffen, dass die Benutzer das Skript nicht ausführen oder sich bei der IT-Sicherheitsbehörde erkundigen, wenn sie entsprechend geschult werden;
Seit Juli 2022 wurde die Fähigkeit der Windows-Versionen von Office und Office 365 geändert, Makros automatisch bei heruntergeladenen Dateien auszuführen. Stattdessen erscheint beim Empfang eines E-Mail-Anhangs mit einem Makro in Office-Versionen, die älter als Mitte 2022 sind, eine rote Sicherheitswarnung. Das heißt, dass das Makro blockiert wurde. Außerdem gibt es eine Schaltfläche mit der Aufschrift "Mehr erfahren", die zu einem Artikel führt, in dem das Sicherheitsrisiko bei der Aktivierung des Makros erläutert wird. Laut Proofpoint war die Aktion erfolgreich: Die Verwendung von Makro-aktivierten Anhängen durch Bedrohungsakteure ist in den neun Monaten zwischen der Ankündigung von Microsoft, Makros zu blockieren, und dem tatsächlichen Beginn der Implementierung um 66 Prozent zurückgegangen. (jm)
Sie möchten regelmäßig über wichtige Themen rund um Cybersicherheit informiert werden? Unser kostenloser Newsletter liefert Ihnen alles, was Sie wissen müssen.