Wenn ein Benutzer versucht, ein per E-Mail versendetes oder von einer Webseite heruntergeladenes Dokument in Office zu lesen, öffnet Microsoft Office es normalerweise im geschützten Modus. Dies geschieht mithilfe von Mark-of-the-Web (MOTW), einem der Standardschutzmechanismen von Windows. Er markiert Dateien, die aus dem Internet auf Ihren PC gelangt sind, sodass Anwendungen ihre Quelle kennen und den Benutzer auf mögliche Gefahren aufmerksam machen können. Man sollte sich jedoch nicht blind auf die Wirksamkeit eines solchen Warnmechanismus verlassen, denn in letzter Zeit haben viele Angreifer damit begonnen, Methoden zur Umgehung von MOTW einzusetzen. Als unsere Experten beispielsweise vor kurzem die Tools der BlueNoroff-Gruppe (die vermutlich zur Lazarus-Gruppe gehört) untersuchten, entdeckten sie, dass diese neue Tricks zur Täuschung des Betriebssystems angewandt hat.
So umgeht BlueNoroff den MOTW-Mechanismus
Und so funktioniert der Mark-of-the-Web-Mechanismus: Sobald ein Benutzer (oder ein Programm) eine Datei aus dem Netz herunterlädt, versieht das NTFS-Dateisystem die Datei mit dem Attribut „aus dem Internet“. Dieses Attribut wird jedoch nicht immer übernommen. Wenn Sie ein Archiv herunterladen, erhalten alle darin enthaltenen Dateien dieses Attribut. Ein Archiv ist jedoch bei weitem nicht die einzige Möglichkeit, eine Datei indirekt zu übertragen.
Die Angreifer der BlueNoroff-Gruppe haben damit begonnen, mit neuen Dateitypen zu experimentieren, um schädliche Dokumente zu übermitteln. In einigen Fällen verwenden sie das .iso-Format, das üblicherweise für die Speicherung von Images optischer Datenträger verwendet wird. Die andere Möglichkeit ist eine .vhd-Datei, die normalerweise eine virtuelle Festplatte enthält. Mit anderen Worten: Sie verstecken die eigentliche Nutzlast des Angriffs – ein Täuschungsdokument und ein bösartiges Skript – in dem Image oder dem virtuellen Laufwerk.
Eine detailliertere technische Beschreibung der aktualisierten BlueNoroff-Tools und -Methoden sowie der Indikatoren für eine Kompromittierung finden Sie im Beitrag unserer Experten im Securelist-Blog.
Wer sind BlueNoroff und wonach suchen sie?
Anfang dieses Jahres haben wir bereits über die SnatchCrypto-Kampagne geschrieben, die darauf abzielt, Kryptowährungen zu stehlen. Aufgrund einer Reihe von Anzeichen glauben unsere Analysten, dass die gleiche BlueNoroff-Gruppe dahinter steckt. Auch die heute beobachteten Aktivitäten zielen in erster Linie auf finanziellen Gewinn ab. Die letzte Phase des Angriffs ist übrigens die gleiche geblieben – die Kriminellen installieren eine Backdoor auf dem infizierten Computer.
Die BlueNoroff-Gruppe hat viele Domains registriert, die Risikokapital- und Investmentgesellschaften sowie große Banken vorspiegeln. Nach den Namen der Banken und den von den Angreifern verwendeten Scheindokumenten zu urteilen, sind sie derzeit vor allem an Zielen interessiert, die Japanisch sprechen. Mindestens ein Opfer der Gruppe wurde jedoch in den Vereinigten Arabischen Emiraten gefunden. Wie die Praxis zeigt, ist BlueNoroff vor allem an Unternehmen interessiert, die mit Kryptowährungen zu tun haben, sowie an Finanzunternehmen.
So können Sie sicher bleiben
Zunächst einmal sollten Sie sich von der Illusion verabschieden, dass die in das Betriebssystem integrierten Standardschutzmechanismen ausreichen, um Ihr Unternehmen zu schützen. Der Mark-of-the-Web-Mechanismus kann nicht verhindern, dass ein Mitarbeiter eine aus dem Internet empfangene Datei öffnet und ein bösartiges Skript ausführt. Damit Ihr Unternehmen nicht zum Opfer der Angriffe von BlueNororff und ähnlichen APT-Gruppen wird, empfehlen unsere Experten Folgendes:
- die Installation moderner Sicherheitslösungen auf allen Arbeitsgeräten – dadurch wird die Ausführung von Skripts aus schädlichen Dateien verhindert;
- sensibilisieren Sie Ihre Mitarbeiter für moderne Cyberbedrohungen – richtig organisierte Schulungen helfen ihnen, nicht auf die Lockangebote der Angreifer hereinzufallen;
- den Einsatz von Sicherheitslösungen der EDR -Klasse und, falls erforderlich, den Einsatz von Managed Detection and Response -Diensten – sie ermöglichen die rechtzeitige Erkennung schädlicher Aktivitäten im Unternehmensnetzwerk und helfen, einen Angriff zu stoppen, bevor echter Schaden entsteht.