Neue bösartige MS Office-Makro-Cluster entdeckt

12.09.2024 von Howard  Solomon
Unternehmen, in denen ältere MS Office-Versionen eingesetzt werden, sollten sofort ein Upgrade durchführen. Es besteht die Gefahr, dass die Suite mit einem alten Trick zur Verbreitung von Malware genutzt wird.
MS Office-Anwender sollten ihre Suiten auf die neuste Version aktualisieren. Cyberangreifer könnten sonst die Makro-Funktion für ihre Zwecke missbrauchen.
Foto: Thaspol Sangsee - shutterstock.com

Bedrohungsakteure nutzen Makros, die automatisch Skripte ausführen, schon seit Jahren, um Malware bei ahnungslosen Benutzern einzuschleusen. Die Makros werden dabei im Hintergrund ausgeführt und installieren Malware oder stellen eine Verbindung zu einem Befehls- und Kontrollserver her, der Malware herunterlädt.

Makros werden zwar in den neuesten Versionen von Microsoft Office nicht mehr automatisch ausgeführt. Das Team von Cisco Talos hat jedoch Hinweise gefunden, dass Bedrohungsakteure immer noch versuchen, diese Funktion in älterer Software auszunutzen.

In ihrem Blog erklärten die Talos-Forscher, sie hätten auf der Malware-Test-Website Virus Total mehrere mit Makros infizierte Dokumente gefunden , die von einem Framework namens MacroPack erstellt worden waren. Die Dateien könnten mehrere Payloads enthalten, darunter die Post-Exploitation-Frameworks Havoc und Brute Ratel sowie eine neue Variante des Remote-Access-Trojaners PhantomCore.

Havoc und Brute Ratel sind Tools, die für Penetrationstester entwickelt wurden, heißt es in dem Bericht. Tools, die für Tester und Verteidiger entwickelt wurden, werden jedoch regelmäßig von Bedrohungsakteuren eingesetzt. Das beste Beispiel dafür ist das Tool Cobalt Strike.

Ein gemeinsames Merkmal aller bösartigen Dokumente, die Cisco Talos auseinandergenommen hat, ist das Vorhandensein von vier nicht-bösartigen VBA-Unterprogrammen. Diese Unterroutinen kamen in allen Beispielen vor und waren nicht verschleiert. "Die Einbeziehung des gutartigen Codes dürfte den Verdacht auf den von MacroPack generierten Code verringern", vermuten die Talos-Forscher.

Handelt es sich um eine neue Malware-Kampagne eines Bedrohungsakteurs? MacroPack ist ein Framework, das für Red Teams entwickelt wurde, um die Verteidigungsmaßnahmen von Unternehmen zu testen. In der Tat konnten die Forscher bestätigen, dass einige der Beispiele Teil von Red Team-Aktivitäten waren. Andere enthielten jedoch bestimmte Taktiken und Techniken, die bösartig erscheinen.

Zumindest, so Cisco, sollten Sicherheitsexperten die Entdeckung als Mahnung nehmen, ihre Office-Suiten auf die neueste Version zu aktualisieren.

Während Verteidiger VirusTotal nutzen, um verdächtige Dokumente hochzuladen, kann ein Bedrohungsakteur die Website nutzen, um zu prüfen, ob eine Antiviren-Engine von ihm erstellte Malware erkennen kann.

Lesetipp: Weltweite Störung bei Microsoft-Diensten

Vier verdächtige Gruppen von Dokumenten

Zu den verdächtigen Dokumenten, die von Cisco Talos gefunden wurden, gehören

Microsoft hat versucht, die Taktik mit untergeschobenen Makros auf zwei Arten zu unterbinden:

Sie möchten regelmäßig über wichtige Themen rund um Cybersicherheit informiert werden? Unser kostenloser Newsletter liefert Ihnen alles, was Sie wissen müssen.