-
-
folge blueBit auf Facebook -
folge blueBit auf Twitter@blueBit_News folgen -
folge blueBit auf Google Plus
-
von Dennis Lenz •
Die Hacker-Gruppe APT28 verwendet ein aktuelles Flash-Exploit zum kapern kritischer Computer. Das Update das erst seit wenigen Tagen veröffentlicht wurde, wurde von vielen Organisationen noch nicht installiert. Es werden gezielt Systeme von Behörden aus Europa und den USA attackiert.
Der Sicherheitsanbieter Proofpoint hat entdeckt, dass eine Hacker-Gruppe mit dem Alias APT28 auch genannt Fancy Bear aktuell einen Trojaner über ein Flash-Exploit verbreitet. Die ausgenutzte Sicherheitslücke ist erst seit vergangener Woche bekannt. Adobe hat zwar bereits einen Patch bereitgestellt, viele Administratoren haben diesen jedoch noch nicht installiert.
Das Hauptziel der Hacker sind mit Außenpolitik geschäftige Regierungsbehörden in Europa und den USA. Gerüchte besagen, dass die Gruppe aus Russland kommt und der dortigen Regierung nahesteht. Weitere Angriffsziele sind Luft- und Raumfahrtunternehmen.
Gegenüber ZDNET USA sagte Kevin Epstein, Vice President des Threat Operations Center von Proofpoint „Es ist keine Überraschung, dass sie so schnell wie möglich davon profitieren wollen.“ „Wahrscheinlich greifen sie in dem engen Zeitfenster, das ihnen bleibt, so viele interessante Ziele wie möglich an. Der Angriff scheint weniger zielgerichtet zu sein, als wir sonst erwartet hätten.“
Der eigentliche Code der das Zero-Day-Exploit in Flash nutzt, ist in einer Word-Datei versteckt. Das Dokument mit dem Namen „World War 3“ enthält einen Text aus einer britischen Veröffentlichung und beschäftigt sich mit der Nordkorea-Krise. Der Fehler in Flash sorgt dafür, dass Systeme mit Windows 7, Flash Player 27.0.0.159 und Office 2013 sowie mit Windows 10 Build 1607, Flash Player 27.0.0.130 und Office 2013 angegriffen werden können.
Die Forscher des Security-Unternehmens ergänzten gegenüber ZDNet USA „APT28 scheint sich zu beeilen, diese neue aufgetauchte Schwachstelle auszunutzen, bevor sich der verfügbare Patch weit verbreitet.“ „Da Flash immer noch auf sehr vielen Systemen installiert ist und diese Anfälligkeit alle wichtigen Betriebssysteme betrifft, ist es sehr wichtig, dass Organisationen und Nutzer den Adobe-Patch sofort einspielen.“ Die Sicherheitsforscher halten es für sehr wahrscheinlich, dass auch andere Kriminelle die Lücke ausnutzen werden, um ihre Malware zu verbreiten. Besonders die hohe Verbreitung von Flash macht die Lücke für Hacker sehr attraktiv.
Die Lücke im Adobe Flash Player wurde vor vierzehn Tagen von Kaspersky Lab entdeckt. Nachdem sie Adobe informiert haben, hat der Flash-Entwickler am vergangenen Dienstag ein Update bereitgestellt das die Lücke schließen soll. Bis zur Veröffentlichung des Updates hat Kaspersky nur einen gezielten Angriff registriert, der das Flash-Exploit ausnutzte. Bei dem Angriff, der auf das Konto der Gruppe BlackOasis gehen soll, wurde die Spionagesoftware FinSpy eingeschleust. Die angesprochene Gruppe ist seit 2015 aktiv und dafür bekannt regelmäßig Zero-Day-Lücken auszunutzen.