Die Ransomware-Gruppe Omega führte einen Cyber-Erpressungsangriff durch, indem sie schwach geschützte Administratorkonten nutzte, um in Unternehmensumgebungen einzudringen, Kontoberechtigungen zu erhöhen und nicht autorisierte Daten aus SharePoint-Bibliotheken zu erhalten. Omega führte diesen Angriff durch, ohne einen Endpunkt in der SharePoint Online-Umgebung zu kompromittieren. Stattdessen nutzten sie ein schwach gesichertes Administratorkonto für den Zugriff.
Dieser Angriff erregte die Aufmerksamkeit von Forschern, da sich Unternehmen in der Regel auf den Schutz ihrer Endgeräte konzentrieren und in diesen investieren, Cyberkriminelle aber immer noch einen Weg finden können, diese Sicherheitsmaßnahmen zu umgehen. Unternehmen setzen weiterhin SaaS-Anwendungen ein, um ihren Betrieb zu skalieren, doch diese Anwendungen sind nicht immer gut gesichert.
Obsidian entdeckte diese Sicherheitslücke, als Omega eines der Microsoft Global Administrator Service-Konten erwarb, das ohne Multi-Faktor-Authentifizierung weit über das Internet verbreitet war. Die Angreifer nutzten dieses nun kompromittierte Konto, um sich selbst zu einem Active Directory-Benutzer zu machen. Als Benutzer konnte Omega alle Beschränkungen aufheben, so dass sie über die entsprechenden Berechtigungen verfügten, um weitreichenden Schaden anzurichten. Sobald der Angreifer alle Beschränkungen aufgehoben hatte, konnte er sich weltweit als Administrator ausgeben, in SharePoint, in Exchange, in Teams und als Site Collector. Mit Hilfe verschiedener Administratoren hatte die Gruppe Zugriff auf die gesamte Online-Umgebung und die Möglichkeit, 200 Administratorkonten zu entfernen, wodurch sie in nur wenigen Stunden die volle Kontrolle erlangten.
Nachdem Omega die vollständige Kontrolle erlangt hatte, schickte er die SharePoint-Datenbibliotheken an einen virtuellen privaten Sektor-Host, der mit einem Webhost in Russland verbunden ist. Zur Unterstützung dieser unbefugten Übertragung verwendeten die Bedrohungsakteure eine Server-Webanwendung, "sppull", die es ihnen ermöglicht, alle Kundendaten effizient von SharePoint-Servern abzuziehen. Sobald die Daten erfolgreich übertragen waren, benutzte Omega eine andere node.js-Anwendung, um die Opfer in dieser Umgebung öffentlich zu benachrichtigen und die Medien auf den Verstoß aufmerksam zu machen.
Cyberangriffe auf SaaS-Umgebungen sind auf dem Vormarsch. AppOmni hat herausgefunden, dass seit dem 1. März ein Anstieg der SaaS-Angriffe auf Salesforce und andere SaaS-Organisationen um 300 % zu verzeichnen ist. Mehr denn je sollten sich diese Unternehmen über die richtigen Sicherheitsmaßnahmen im Klaren sein, die sie ergreifen müssen.
(Quelle: DarkReading)
Seit September 2022 wird eine vollständig nicht nachweisbare (FUD) Malware-Engine verwendet, um die Erkennung durch Antivirenprogramme zu umgehen. Der Zweck dieser Malware besteht darin, verschiedene schädliche Stämme über verschiedene Batch-Dateien zu verbreiten. Die Malware-Engine BatCloak hat es erfolgreich geschafft, für 784 Dateien von allen Sicherheitslösungen (79,6 %) unerkannt zu bleiben.
Jlaive, ein gewöhnlicher Batch-Datei-Ersteller, ist in der Lage, das Antimalware Scan Interface (AMSI) zu umgehen und die Nutzlast zu verschlüsseln, um die Sicherheit erfolgreich zu umgehen. Da dieses Tool zur Umgehung von Antivirenprogrammen im September 2022 öffentlich zugänglich gemacht wurde, hat ein Entwickler es trotz der Bemühungen, es zu entfernen, als Open-Source über GitHub und GitLab zugänglich gemacht. Im Laufe der Zeit haben andere Angreifer dieses Tool verändert und in der Programmiersprache Rust nachgebaut. Die endgültige Nutzlast fungiert als Ausgangspunkt und hat drei verschiedene Ladeschichten: einen C#-Loader, einen PowerShell-Loader und einen Batch-Loader. Dabei muss die endgültige Nutzlast entschlüsselt werden, bis die Malware entladen ist.
Mit der Ausbreitung von BatCloak in der freien Wildbahn werden verschiedene Updates durchgeführt, das jüngste ist ScrubCrypt. Fortinet FortiGuard Labs fand eine Verbindung zwischen dieser und einer anderen Operation, die von der 8220 Gang betrieben wird. Jetzt wurde dieses Open-Source-Tool geschlossen, was dazu beitragen kann, Einnahmen zu erzielen und es zu schützen, damit es nicht geklont werden kann.
(Quelle: TheHackerNews)
UNC3886, eine chinesische Cyberspionagegruppe, die in den Vereinigten Staaten und im asiatisch-pazifischen Raum für die Ausnutzung von Zero-Day-Schwachstellen bekannt ist, ist für die Ausnutzung einer Zero-Day-Schwachstelle in VMware ESXi verantwortlich. Diese Cyberspione nutzten CVE-2023-20867 aus und führten zahlreiche Befehle aus. Diese Kampagne würde VMware ESXi-Hosts, vCenter-Servern und virtuellen Windows-Maschinen (VMs) Schaden zufügen. Diese Gruppe nutzte bösartige vSphere Installation Bundles (VIBs), die Unternehmen zur Aufrechterhaltung ihrer Systeme und zur Ausführung von Updates verwenden. Die Entladung der VIBs ermöglicht es Angreifern, Befehle auszuführen und ihre Dateien zu manipulieren. Außerdem können sie Shell-Funktionen mithilfe von VMCI-Sockets umkehren, um laterale Bewegungen und Persistenz zu erreichen. Dies wird durch die Installation von zwei Backdoor-Programmen, VirtualPita und VirtualGate, erreicht. Bei den jüngsten Angriffen wurden die Anmeldeinformationen für alle ESXi-Hosts, die sich auf dem vCenter Server befanden, aus der Datenbank vPostgreSQL gesammelt und bestimmte IPs auf dem kompromittierten Server geändert und deaktiviert.
Die Cyberspionage-Gruppe ist auch für die Ausnutzung einer Zero-Day-Schwachstelle CVE-2023-20867 verantwortlich. Diese Softwaresicherheitslücke betrifft VMware Tools auf diesen verschiedenen Plattformen: Windows, Linux und PhotonOS (vCenter) Gast-VMs. Diese Schwachstelle wurde durch eine neue Version, VMware Tool 12.2.5, gepatcht. Angreifer nutzten diese Schwachstelle, um die Verifizierung auszuschalten und Angreifern die Durchführung geheimer Aktionen zu ermöglichen. Die Zero-Day-Schwachstelle wurde als "niedriger Schweregrad" eingestuft, da die Gruppe Zugriff auf die ESXi-Software hatte.
(Quelle: SecurityWeek)
Am Dienstag hat das Sicherheitsteam von Microsoft eine Reihe von Software-Updates herausgegeben, um über 70 Sicherheitslücken und sechs alarmierende Fälle zu schließen, durch die Benutzer bösartigen Codes ausgesetzt sein könnten. Diese potenziellen Bedrohungen betrafen das Windows-Betriebssystem und die Software und waren weder veröffentlicht noch ausgenutzt worden.
Diese Fehler haben einen CVSS-Schweregrad von 9,8 von 10 und sind als CVE-2023-29363, CVE-2023-32014 und CVE-2023-32015 bekannt. Die drei Schwachstellen mit hohem Schweregrad wurden von Windows-Netzwerkadministratoren in Windows Pragmatic General Multicast (PGM) festgestellt. Dieses Protokoll wurde entwickelt, um Pakete an zahlreiche Mitglieder verschiedener Netzwerke zu senden. Sie hoffen, dieses Problem schnell und verantwortungsvoll zu beheben, damit es nicht ausgenutzt wird.
Ein weiterer schädlicher Ausführungscode in Microsoft Exchange Server, auf den die Experten aufmerksam machen möchten, ist CVE-2023-320-21. Dieser ermöglicht es Bedrohungsakteuren, Angelegenheiten zu umgehen, die in der Vergangenheit ausgenutzt wurden, ohne ein Konto zu erstellen. Wenn die Ausnutzung erfolgreich ist, könnte dies dazu führen, dass bösartiger Code über Privilegien auf dem System verfügt.
Einer der vielen Patches, die in diesem Monat zur Behebung von Malware-Angriffen durch eine Schwachstelle im Chrome-System (CVE-2023-3079) veröffentlicht wurden, wurde am selben Tag veröffentlicht, an dem Adobe seine Patches für die Schwachstellen bekannt gab, durch die Nutzer von Adobe Commerce ebenfalls Angriffen durch bösartigen Code ausgesetzt waren. Adobe hat bekannt gegeben, dass es mindestens 12 Sicherheitslücken gibt. Wenn die Schwachstelle erfolgreich ausgenutzt wird, können beliebiger Code ausgeführt, das Dateisystem gelesen und die Sicherheit umgangen werden.
(Quelle: SecurityWeek)
Große Marken wie Nike, UGG, The North Face und Hunderte andere sind mit einem weltweiten Phishing-Betrug konfrontiert. Die Angreifer geben sich als diese bekannten Marken aus, um an die Finanz- und Kontodaten der Nutzer zu gelangen. Den Angreifern ist es gelungen, überzeugende, gut funktionierende Seiten zu erstellen, so dass es schwierig ist, diese Seite von der echten Seite der Marke zu unterscheiden. Dies wurde erstmals im Juni 2022 von Bolster AI entdeckt. Seitdem wurden mehr als 3.000 Domänen und 6.000 Websites gefunden, sowohl inaktive als auch aktive. Diese bösartigen Domains wurden von Packet Exchange Limited und Global Colocation Limited gehostet, die anhand der IP-Adresse der Domains mit der Autonomous System Number AS48950 identifiziert wurden.
Die Kampagne erreichte im Januar und Februar 2023 einen enormen Aufschwung und führte zu 300 aktiven Betrugsseiten pro Monat. Die Angreifer blieben unentdeckt, indem sie Domains mit dem Namen des Unternehmens und seinem Standort (Stadt oder Land) anlegten und dann mit .com endeten, einer sehr verbreiteten Top-Level-Domain. Diese Domains wurden von einem E-Commerce-Unternehmen in Singapur zertifiziert und waren zwischen 3 Monaten und 2 Jahren alt, was bei diesem Betrug eine große Rolle spielte.
Je länger eine Domain existiert, desto unwahrscheinlicher ist es, dass sie von den vorgeschriebenen Sicherheitsverfahren als bösartig eingestuft wird. Da diese Kampagne so lange unentdeckt bleiben konnte, hat Google Search diese betrügerischen Websites höher eingestuft, wenn Nutzer nach ihren bevorzugten Bekleidungs- oder Schuhmarken suchen. Dies stellt eine große Bedrohung dar, da Menschen dazu neigen, auf die von Google als vertrauenswürdig eingestuften Seiten zu klicken. Finanz- und Kontoinformationen, die Nutzer auf den Bezahlseiten eingegeben haben, könnten gespeichert und an Angreifer verkauft worden sein. Die Forscher raten Nutzern, die beworbenen Anzeigen bei Google zu überspringen und die sozialen Medien der Marke zu überprüfen, um sicherzustellen, dass sie die richtige URL haben.
(Quelle: BleepingComputer)
