Die Hackergruppe Sednit, welche auch mit dem Hacking-Angriff auf den französischen Präsidentschaftskandidaten Emmanuel Macron in Verbindung gebracht wurde, hat im selben Zeitraum mit einer Phishing-E-Mail die Aufmerksamkeit des europäischen Security-Software-Herstellers
Eset erregt. Die Empfänger des Mails sollten mit Informationen zum kürzlich durchgeführten Raketenangriff in Syrien dazu gebracht werden, den Anhang des Mails zu öffnen, welcher das Spionage-Tool Seduploader enthält.
Dazu benutzte die Hackergruppe ein Word-Dokument mit dem Dateinamen "Trump's_Attack_on_Syria_English.docx", das zwei Zero Day Exploits verwendet, welche Schwachstellen in
Microsoft ausnutzen. Bei einem Exploit handelt es sich um eine Remote-Code-Execution-Sicherheitslücke in Microsoft Word. Der andere sorgt für eine lokale Privileg-Eskalation in Windows. Microsoft hat bereits reagiert und veröffentlichte einen Notfall-Patch, welcher mit dem monatlichen Sicherheitsupdate verbreitet wurde.
"Die Sednit-Gruppe zeigt, dass sie noch weit davon entfernt ist, aufzuhören", sagt Alexis Dorais-Joncas, Eset Security Intelligence Team Lead. "Sie halten zwar an alten Gewohnheiten fest – wie beispielsweise alte Codes wiederzuverwenden und bekannte Angriffsmethoden auszunutzen. Allerdings haben wir über die letzten Monate hinweg auch verschiedene Verbesserungen im Seduploader festgestellt."
Die Forscher von Eset beobachten die Aktivitäten der Gruppe, welche auch unter den Pseudonymen APT28, Fancy Bear und Sofacy bekannt ist, schon seit längerem. Diese ist mindestens seit 2004 aktiv und verfolgt den Zweck, vertrauliche Informationen von bewusst ausgewählten Zielen zu stehlen. Eset veröffentlichte im Oktober 2016 eine
umfangreiche Analyse der Angriffsmethoden von Sednit.
(swe)
