Alles rund um Windows

Mit Russland in Verbindung stehende APT28-Angreifer missbrauchen bereits neue Microsoft Office Zero-Day-Sicherheitslücke

Mit Russland in Verbindung stehende Angreifer nutzen bereits die neueste Office Zero-Day-Sicherheitslücke von Microsoft aus. Das nationale Cyberabwehrteam der Ukraine warnt davor, dass dieselbe Sicherheitslücke genutzt wird, um Regierungsbehörden innerhalb des Landes und Organisationen in der gesamten EU anzugreifen.

In einer am Sonntag veröffentlichten Warnung erklärt CERT-UA, dass die Aktivitäten von UAC-0001, besser bekannt als "APT28" oder "Fancy Bear", gesteuert werden und sich auf CVE-2026-21509 stützen, einen Bug zur Umgehung von Sicherheitsfunktionen in Microsoft Office, den Microsoft letzte Woche zusammen mit einer Warnung veröffentlicht hat, dass Angreifer ihn bereits in freier Wildbahn ausnutzen.

Laut CERT-UA tauchte das erste als Waffe eingesetzte Dokument nur wenige Tage nach der Warnung von Microsoft über die Schwachstelle auf. Eine Datei mit dem Titel "Consultation_Topics_Ukraine(Final).doc" erschien am 29. Januar öffentlich und befasste sich mit den Diskussionen der EU über die Ukraine. Die Metadaten der Datei zeigen, dass sie am 27. Januar erstellt wurde – einen Tag nach der Veröffentlichung der Details zur Schwachstelle durch Microsoft –, was darauf hindeutet, dass die Exploit-Kette bereits vorbereitet war und nur noch darauf wartete, eingesetzt zu werden.

Am selben Tag wurden ukrainische Incident Responder auf eine parallele Phishing-Kampagne aufmerksam gemacht, die sich als offizielle Korrespondenz des Ukrainischen Hydrometeorologischen Zentrums ausgab. Mehr als 60 Empfänger, hauptsächlich aus zentralen Regierungsbehörden, erhielten E-Mails mit einem bösartigen DOC-Anhang. Das Öffnen der Datei in Office initiiert unbemerkt eine WebDAV-Verbindung zu einem externen Server, lädt eine Verknüpfungsdatei herunter und nutzt diese als Startrampe für weitere Malware.

Von dort aus platzieren die Angreifer eine DLL, die sich als legitime Windows-Komponente tarnt, und verstecken Shellcode in einer scheinbar harmlosen Bilddatei. Anschließend etablieren sie Persistenz über COM-Hijacking und eine geplante Aufgabe, die explorer.exe neu startet, um sicherzustellen, dass der bösartige Code neu geladen wird. Die meisten Benutzer würden kaum etwas Ungewöhnliches bemerken, aber die Angreifer haben nun einen Zugangspunkt, zu dem sie zurückkehren können.

Das Endergebnis ist der Einsatz des COVENANT-Post-Exploitation-Frameworks, und die Angreifer leiten ihren Datenverkehr über einen legitimen Cloud-Speicherdienst, wodurch er sich als alltäglicher Datenverkehr tarnt und nicht als offensichtlich feindselig erkennbar ist. CERT-UA hat Verteidigern empfohlen, den Filen-bezogenen Datenverkehr genau zu überwachen oder ihn nach Möglichkeit vollständig zu blockieren.

Die Kampagne beschränkt sich nicht nur auf die Ukraine. In den letzten Januartagen identifizierte CERT-UA drei weitere bösartige Dokumente, die dieselbe Exploit-Kette verwendeten und auf Organisationen in EU-Mitgliedstaaten abzielten. In einem Fall wurde die Domain, über die die Payload bereitgestellt wurde, genau an dem Tag registriert, an dem sie verwendet wurde, was unterstreicht, wie schnell die Angreifer ihre Infrastruktur wechseln.

Microsoft hat nun Patches veröffentlicht, darunter auch für ältere Office-Versionen, die zunächst in der Schwebe waren, aber CERT-UA ist nach wie vor nicht optimistisch, wie schnell diese umgesetzt werden. 

Es ist offensichtlich, dass in naher Zukunft, auch aufgrund der Trägheit des Prozesses oder der Unmöglichkeit für Benutzer, die Microsoft Office-Suite zu aktualisieren und/oder empfohlene Schutzmechanismen zu verwenden, die Zahl der Cyberangriffe, die die beschriebene Schwachstelle ausnutzen, zunehmen wird.