Af Eskil Sørensen, 02/08/21
En trusselsaktør har udnyttet en nul-dags fejl i Explorer-browseren til at levere en fuldt udstyret VBA-baseret trojaner. Trojaneren er en såkaldt fjernadgangstrojaner (RAT), der kan få adgang til filer, der er gemt i kompromitterede Windows-systemer, og downloade og afvikle ondsindet payload.
Det skriver The Hacker News.
VBA står for Visual Basic for Applications er et programmeringssprog, der bruges til at automatisere indhentning af data til word- og exceldokumenter.
Der er tale om en bagdør, der i dette tilfælde distribueres via et dokument ved navn "Manifest.docx". Dokumentet indlæser udnyttelseskoden for sårbarheden fra en indlejret skabelon, som igen udfører shellcode for at implementere RAT.
Det malware-inficerede dokument hævder at være et "manifest for indbyggerne på Krim", der opfordrer borgerne til at modsætte sig den russiske præsident Vladimir Putin og "skabe en samlet platform kaldet 'Folkets Modstand'.
Altså et eksempel på hvordan angribere udnytter en aktuel politisk dagsorden til at sprede malware.
Fejlen er ifølge The Hacker News (CVE-2021-26411, CVSS-score på 7,5) kendt for at være misbrugt af den Nordkorea-støttede Lazarus Group til at gå efter sikkerhedsforskere, der arbejder med sårbarhedsforskning og -udvikling.
Rettet i marts
Tidligere i februar afslørede det sydkoreanske cybersikkerhedsfirma ENKI, at gruppen havde forsøgt at angribe sikkerhedsforskere med ondsindede MHTML-filer, der ved åbning downloadede payload fra en fjernserver, hvoraf den ene indeholdt en nul-dag mod Internet Explorer. Microsoft behandlede problemet på Patch Tuesday i marts.
The Hacker News skriver, at Explorer-udnyttelsen er en af de to måder, der bruges til at implementere trojaneren, hvor den anden metode anvender en social engineering-komponent, der involverer download og eksekvering af en ekstern skabelon. Brugen af dobbelte angrebsvektorer sandsynligvis et forsøg på at øge sandsynligheden for at finde en vej ind i de målrettede maskiner, vurderes det.
Links:
https://thehackernews.com/2021/07/hackers-exploit-microsoft-browser-bug.html