Eine neue Malvertising-Kampagne der Ransomware-Gruppe BlackCat nutzt Google- und Bing-Suchanzeigen. BlackCat nutzt faszinierende Anzeigen, um Nutzer in eine Dateiübertragungs-App zu locken, die bösartige Nutzlasten und Malware enthält. Durch den Einsatz von WinSCP, einem Programm zum Kopieren von Dateien unter Windows, werden die Benutzer auf eine Seite zum Herunterladen von ISO-Dateien umgeleitet, und damit ist die Malware vollständig. Mithilfe autorisierter Befehle können die Angreifer Administratorrechte auf oberster Ebene erlangen und einen Backdoor-Zugriff auf das System einrichten, bevor sie den Zugriff des ursprünglichen Benutzers einschränken. Sobald sie im System sind und auf Informationen zugreifen können, können die Angreifer durch die Hintertür ein- und ausgehen, um Passwörter und Backup-Server zu erhalten. Cobalt Strike, AdFind, AccessChk64 und findstr sind vier der Tools, die zur Durchführung des Angriffs verwendet wurden. Diese Tools halfen dabei, den Angriff zu initiieren, Sicherheitsmaßnahmen zu umgehen, Informationen zu erhalten und XML-Dateien auf dem System zu finden. Nachdem dieser Prozess abgeschlossen war, wurden Befehlszeilentools implementiert, um die anderen Tools auf der gesamten Plattform zu unterstützen. Um an die Kundendaten zu gelangen, nutzte die Bande den PuTTY Secure Copy Client, mit dessen Hilfe der Angriff auf die kompromittierte MOVEit-Transferdatei identifiziert werden konnte. Angreifer haben Schlupflöcher in vielen Organisationen gefunden, und die von diesen Bedrohungsakteuren gefundenen Schwachstellen haben bei vielen zur Zerstörung geführt.
(Quelle: SCMedia)
Fortinet hat im vergangenen Monat ein Update veröffentlicht, das das Sicherheitsproblem behebt, von dem über 300.000 seiner Benutzer betroffen sind. Am 11. Juni machte Fortinet diese Sicherheitslücke öffentlich und führte verschiedene Update-Versionen aus. Der Patch reichte jedoch nicht aus, und die Schwachstelle für Remotecodeausführung (CVE-2023-27997) betrifft immer noch Tausende. Die Sicherheitslücke wurde auf der Schweregradskala mit 9,8/10 eingestuft. CVE-2023-27997 geht auf ein Problem im Fortinet-Betriebssystem zurück, das die verschiedenen Komponenten von FortiOS enthält. Die Forscher nutzten eine Suchmaschine, um die Anzahl der Geräte zu ermitteln, die für den Code anfällig sind, und fast die Hälfte wurde bereits auf die neueste Version aktualisiert, die laut Fortinet eine Lösung für den laufenden Angriff darstellt. Die Forscher fanden außerdem heraus, dass die Anwendung seit acht Jahren keine Systemaktualisierung durchgeführt hatte, so dass die Firewalls der Benutzer über das Internet angreifbar waren.
(Quelle: BleepingComputer)
Meduza Stealer ist eine neu entdeckte Malware im Dark Web, die fortgeschrittene Fähigkeiten zum Datendiebstahl nutzt, um Windows-Nutzer anzugreifen. Die Hauptabsicht dieses unbekannten Bedrohungsakteurs ist der Diebstahl von Browserdaten. Browser-Verlauf, Kontoanmeldeinformationen, Passwort-Manager, Zwei-Faktor-Authentifizierung usw. sind alles Informationen, die aus den Browserdaten gewonnen werden können. Wenn ein Gerät bereits infiziert ist, kann der Meduza Stealer sogar noch mehr vertrauliche Informationen wie geografische Standorte, Screenshots und IP-Adressen abgreifen. Diese Malware kann Erkennungstools umgehen und kommuniziert mit anderen Bedrohungsakteuren über das Dark Web, um diese Kampagne durchzuführen. Aus diesem Grund befürchten Forscher, dass diese neue Malware bei Unternehmen, die Datenverletzungen begangen haben, ernsthaften Schaden anrichten könnte.
(Quelle: InfoSecurityMagazine)
Chinesische Angreifer sind für eine seit Dezember laufende Kampagne namens SmugX verantwortlich. SmugX ist eine HTML-Schmuggelkampagne. Diese Gruppe von Angreifern hat es auf die europäische Regierung abgesehen, indem sie bösartige Nutzdaten in HTML-Dokumenten platziert. Die Gruppe war in der Vergangenheit bereits für Kampagnen wie die chinesische APT RedDelta und APT Mustang Panda verantwortlich.
Diese neu identifizierte Kampagne deutet auf eine Veränderung der Techniken chinesischer Bedrohungsakteure hin. Bisher hatten es die Angreifer auf Länder wie Russland, Asien und die Vereinigten Staaten abgesehen, doch nun zielt dieser Angriff vor allem auch auf europäische Länder. Bei der globalen Kampagne verwenden die Angreifer USB-Laufwerke, um bösartige Software zu verbreiten und anfällige Opfer anzulocken. Bei dem jüngsten Angriff verwendete SmugX HTML-Dokumente, die bösartige Malware zu politischen Themen enthielten. Ein Dokument, das in der Kampagne verwendet wurde, war ein Brief der serbischen Botschaft in Budapest. Wenn ein Benutzer das verseuchte Dokument öffnet, setzt es JavaScript frei, das die Nutzlast enthält. PlugX ist ein RAT, das seit 2008 von Bedrohungsakteuren eingesetzt wird. Der systematische Prozess ermöglicht es Angreifern, eine Reihe von Aktivitäten innerhalb des legitimen Programms auszuführen. Angreifer können einen versteckten Ordner innerhalb der Anwendung erstellen und über einen Ausführen-Registrierungsschlüssel verfügen.
(Quelle: DarkReading)
C10p, eine russische Ransomware-Gruppe, hat Anfang Juni MOVEit-Dateiübertragungsdaten offengelegt und hatte Ende des Monats die Daten von über 160 Opfern offengelegt. C10p hat diese Kampagne in den letzten zwei Jahren systematisch koordiniert. Die Gruppe untersuchte und analysierte die Zero-Day-Schwachstelle und wartete auf die perfekte Gelegenheit, um zuzuschlagen und die erworbenen Daten auszunutzen. Wahrscheinlich hat die Gruppe die Zero-Day-Schwachstelle von einem Dritten erworben und zahlreiche Nachforschungen angestellt, um an Informationen zu gelangen und diese hoch entwickelte Kampagne durchzuführen. Aufgrund ihrer anhaltenden erfolgreichen Kampagne beeinflusst die Strategie der Gruppe die Techniken anderer Angreifer. John Hammond, der Sicherheitsforscher von Dark Reading, erklärte, dass C10p ein Geschäftsmodell für Ransomware-Angriffe entwickelt hat. Dies könnte dazu führen, dass andere Banden diese Informationen nutzen und von dieser erfolgreichen Erpressungskampagne lernen.
Die Zahl der Zero-Day-Angriffe in der Lieferkette kann durch proaktives Handeln der Unternehmen und Bug-Bounty-Programme minimiert werden. Außerdem haben die hektischen Reaktionen auf den MOVEit-Angriff noch mehr Chaos verursacht. Omkhar Arasaratnam, Leiter der Open Security Foundation, vergleicht die Situation mit dem Eintreffen eines Sanitäters am Unfallort. Wenn die Sanitäter ausgeflippt und in Panik geraten sind, wird das Problem nicht gelöst. Daher sollten Sicherheitsexperten einen ruhigen Ansatz verfolgen und versuchen, mit der Situation ruhig und gelassen umzugehen.
(Quelle: DarkReading)
