Als „Storm-0978“ bekannte Bedrohungsakteure nutzen aktiv eine ungepatchte Schwachstelle zur Remote-Ausführung von Code in Microsoft Office und Windows HTML aus. Diese schwerwiegende Zero-Day-Schwachstelle mit einem CVSS-v3.1-Score von 8,3 und der Bezeichnung CVE-2023-36884 wurde über speziell gestaltete Microsoft Office-Dokumente ausgenutzt, die Opfer mithilfe von E-Mail-Ködern zum Öffnen verleitet.
Storm-0978 zielt auf militärische und Regierungseinrichtungen in Europa und Nordamerika ab, mit E-Mails zum Thema „Ukrainian World Congress“ und „NATO“. Diese enthalten Links zu einer Website, auf der sich die gefährlichen Dokumente befinden.
Sobald das Opfer das bösartige Office-Dokument öffnet, können die Bedrohungsakteure beliebigen Code auf den Zielsystemen ausführen und möglicherweise zusätzliche Payloads wie Remote-Access-Trojaner (RAT) oder Ransomware bereitstellen.
Da diese Schwachstelle derzeit nicht behoben ist, könnten andere Bedrohungsakteure versuchen, ähnliche Bedrohungen mithilfe ähnlicher Taktiken und Techniken einzusetzen – beispielsweise die Übertragung bösartiger Dokumente per E-Mail-Anhänge, anstatt auf eine bösartige Website zu verlinken.
Zum Zeitpunkt der Veröffentlichung wurde keine vollständige Liste der betroffenen Microsoft-Office- und Windows-Versionen bekanntgegeben. Es wird davon ausgegangen, dass aktuelle Office-, Windows- und Word-Versionen betroffen sind.
Storm-0978 – auch bekannt als „RomCom“, da sie zuvor das RomCom-RAT benutzt haben – ist Berichten zufolge eine cyberkriminelle Bande aus Russland, die mindestens seit 2022 aktiv ist.
Die Gruppe hat bereits zuvor trojanisierte Versionen beliebter Software verwendet, um das RomCom-RAT zu verbreiten, und wurde auch mit den Ransomware-Bedrohungen „Trigona“ und „Underground“ in Verbindung gebracht. Letzteres ist möglicherweise eine Neuauflage von „Industrial Spy“.
Wie es bei finanziell motivierten Bedrohungsakteuren häufig der Fall ist, scheinen frühere Angriffe auf die Telekommunikations- und Finanzbranche eher opportunistisch gewesen zu sein. Im Gegensatz dazu wirken ihre jüngsten Aktivitäten weitaus gezielter und sind möglicherweise sogar durch ein Spionageziel motiviert.
Bis zur Veröffentlichung eines Sicherheitsupdates außerhalb des Zyklus oder eines Updates im Rahmen des monatlichen Patch-Tuesday-Releases sollten Unternehmen die aktuellen Hinweise von Microsoft in ihrem Sicherheitsupdate-Leitfaden befolgen. Hier wird empfohlen, die Regel zur Reduzierung der Angriffsfläche „Blockieren aller Office-Anwendungen bei der Erstellung untergeordneter Prozesse“ in Microsoft Defender zu aktivieren. Oder Sie können den Registrierungsschlüssel FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION aktivieren.
Bei diesen Änderungen ist es wichtig, dass Organisationen die Auswirkungen einer Änderung in der Registrierungsdatenbank berücksichtigen, da diese die Funktionalität von Anwendungen beeinträchtigen können. Unternehmen sollten auch in Betracht ziehen, einen proaktiven Ansatz zu verfolgen, indem sie die Veröffentlichung von Sicherheitsupdates außerhalb des Zyklus überwachen.
Darüber hinaus können Sie Zugriffsbeschränkungen für die Domänen und IP-Adressen implementieren, die im Abschnitt „Kompromittierungsindikatoren“ (Indicators Of Compromise, IOCs) aufgeführt sind. Dies verhindert nicht nur, dass Benutzer auf bösartige Inhalte zugreifen, sondern vereitelt auch potenzielle Command-and-Control-Aktivitäten.
Schließlich sollten Sie bei einem Verdacht auf einen gezielten Angriff Ihre Umgebung gründlich auf die unten aufgeführten IOCs überprüfen und sofort Maßnahmen zur Eindämmung und Behebung der festgestellten Bedrohungen ergreifen. Indem Sie diese Empfehlungen befolgen, können Sie die Sicherheitslage Ihres Unternehmens verbessern und den Schaden durch mögliche Sicherheitsvorfälle minimieren.
IOC | Typ | Beschreibung |
---|---|---|
ukrainianworldcongress[.]info |
Domain |
Imitiert die legitime Domain ukrainianworldcongress[.]org |
%APPDATA%\Local\Temp\Temp1_<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.zip\2222.chm |
Dateipfad |
Opferspezifischer CHM-Payload mit file1.htm, file1.mht, fileH.htm, fileH.mht und INDEX.htm |
104.234.239[.]26 |
IPv4 |
Hostet C2 und weitere Payloads |
213.139.204[.]173 |
IPv4 |
Wird auf ukrainianworldcongress[.]info aufgelöst |
66.23.226[.]102 |
IPv4 |
Potenzielle Storm-0978 Infrastruktur (ähnliche Inhalte) |
74.50.94[.]156 |
IPv4 |
Hostet C2 und weitere Payloads |
94.232.40[.]34 |
IPv4 |
Potenzielle Storm-0978 Infrastruktur (ähnliche Inhalte) |
07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d |
SHA256 |
Bösartiges Microsoft-Word-Dokument der zweiten Phase – file001.url |
07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d |
SHA256 |
Bösartiges Microsoft-Word-Dokument der zweiten Phase – \\104.234.239[.]26\share1\MSHTML_C7\file001.url |
3a3138c5add59d2172ad33bc6761f2f82ba344f3d03a2269c623f22c1a35df97 |
SHA256 |
Letter_NATO_Summit_Vilnius_2023_ENG.docx - Köder-Dokument |
a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f |
SHA256 |
Overview_of_UWCs_UkraineInNATO_campaign.docx - Köder-Dokument |
ddf15e9ed54d18960c28fb9a058662e7a26867776af72900697400cb567c79be |
SHA256 |
Schädliches Word-Dokument - hxxp://74.50.94[.]156/MSHTML_C7/doc_dld.asp?filename=<FILENAME.DOC> |
e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539 |
SHA256 |
afchunk.rtf - Exploit-Payload, der in die Köder-Dokumente eingebettet ist |
\\104.234.239[.]26\share1\MSHTML_C7\file001.url |
UNC-Pfad |
Microsoft-Word-Dokument der zweiten Phase - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d |
\\104.234.239[.]26\share1\MSHTML_C7\file001.url |
URL |
Microsoft-Word-Dokument der zweiten Phase - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d |
hxxp://104.234.239[.]26/share1/MSHTML_C7/1/<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.htm?d=<VICTIM_IP>_<5_CHAR_HEX_ID> |
URL |
Call Home, wird verwendet, um Payloads mit Opfer-IP/Identifikator zu generieren |
hxxp://104.234.239[.]26/share1/MSHTML_C7/1/<VICTIM_IP>_<5_CHAR_HEX_ID>_file001.zip |
URL |
Für die IP-Adresse des Opfers generierter Payload |
hxxp://104.234.239[.]26/share1/MSHTML_C7/file001.url |
URL |
Microsoft-Word-Dokument der zweiten Phase - 07377209fe68a98e9bca310d9749daa4eb79558e9fc419cf0b02a9e37679038d |
hxxp://66.23.226[.]102/MSHTML_C7/start.xml |
URL |
Potenzielle Storm-0978 Infrastruktur (ähnliche Inhalte) |
hxxp://74.50.94[.]156/MSHTML_C7/doc_dld.asp?filename=<FILENAME.DOC> |
URL |
Schädliches Word-Dokument - ddf15e9ed54d18960c28fb9a058662e7a26867776af72900697400cb567c79be |
hxxp://74.50.94[.]156/MSHTML_C7/o2010.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ |
URL |
Für die IP-Adresse des Opfers generierter Payload |
hxxp://74.50.94[.]156/MSHTML_C7/RFile.asp |
URL |
Wird von start.xml referenziert, lädt den für die Opfer-IP generierten Inhalt |
hxxp://74.50.94[.]156/MSHTML_C7/start.xml |
URL |
Lädt RFile.asp |
hxxp://74.50.94[.]156/MSHTML_C7/zip_k.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ |
URL |
Für die IP-Adresse des Opfers generierter Payload |
hxxp://74.50.94[.]156/MSHTML_C7/zip_k2.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ |
URL |
Für die IP-Adresse des Opfers generierter Payload |
hxxp://74.50.94[.]156/MSHTML_C7/zip_k3.asp?d=<VICTIM_IP>_<5_CHAR_HEX_ID>_ |
URL |
Für die IP-Adresse des Opfers generierter Payload |
hxxp://94.232.40[.]34/MSHTML_C7/start.xml |
URL |
Potenzielle Storm-0978 Infrastruktur (ähnliche Inhalte) |
hxxp://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Letter_NATO_Summit_Vilnius_2023_ENG.docx |
URL |
Köder-Dokument |
hxxps://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Overview_of_UWCs_UkraineInNATO_campaign.docx |
URL |
Köder-Dokument |