Die chinesische Phishing-Gruppe "PostalFurious" wurde im April 2023 von Group-IB, einer Threat-Intelligence-Organisation in Singapur, entdeckt, nachdem sie eine Smishing-Taktik entdeckt hatte, mit der PostalFurious Postunternehmen und Mautbetreiber im gesamten asiatisch-pazifischen Raum (APAC) nachahmte.
Die Phishing-Bande hat ihre Aktivitäten vor kurzem auf den Nahen Osten ausgeweitet, insbesondere auf die Vereinigten Arabischen Emirate (VAE), um an persönliche und finanzielle Daten von Einwohnern in dieser Region zu gelangen. Die Cyberkriminellen versenden derzeit Phishing- und Smishing-Nachrichten, in denen sie die Empfänger auffordern, für Dienstleistungen zu bezahlen. Dazu verwenden sie eine URL, hinter der sich die betrügerische Domain verbirgt, und leiten sie auf eine gefälschte Zahlungsseite weiter, auf der sie ihren vollständigen Namen, ihre Privatadresse und ihre Finanzdaten eingeben. Es ist unklar, auf wen sie es abgesehen haben, aber sie beginnen, sich als staatliche Einrichtungen wie Postbetreiber auszugeben. Um der Entdeckung und dem unbefugten Zugriff zu entgehen, wenden Phishing-Banden äußerst raffinierte Zugriffsstrategien an. Group-IB entdeckte jedoch die sorgfältig verborgene Verbindung zwischen APAC und den VAE, da beide die gleiche Infrastruktur und Verschlüsselungsaktivität aufweisen.
(Quelle: InfoSecurity)
Das biowissenschaftliche und molekulardiagnostische Unternehmen Enzo Biochem bietet Patienten klinische Forschungsdienste an und stellt Produkte wie DNA-Tests her. Am 6. April 2023 stellte das Unternehmen erstmals einen Ransomware-Angriff fest, der in sein externes System eingedrungen war, war sich aber nicht sicher, welche Informationen verletzt worden waren. Eine Woche später entdeckte das Unternehmen, dass Kundennamen und Testdaten betroffen waren, und machte die neuesten Nachrichten öffentlich.
Enzo Biochem hat die Sicherheitsverletzung letzte Woche, am 30. Mai, offiziell bekannt gegeben, indem es bei der Sicherheits- und Börsenaufsichtsbehörde (SEC) Unterlagen einreichte. Dadurch wurden 2,47 Millionen Menschen in den Vereinigten Staaten darüber informiert, dass durch diesen Cyberangriff ihre geschützten Gesundheitsinformationen (PHI) und personenbezogenen Daten (PII), wie z. B. Sozialversicherungsnummern, offengelegt worden waren.
In dem Artikel erklärte Roy Akerman, CEO von Rezonate, wie beliebt es für Hacker ist, PII und PHI zu erbeuten, um sie für andere Angriffe zu nutzen oder im Dark Web zu verkaufen. Cyber-Experten untersuchen noch immer die Ursache dieses Ransomware-Angriffs und entwickeln eine schnelle Wiederherstellungsstrategie.
(Quelle: DarkReading)
Anfang 2018 stellten hochrangige Beamte in der Biden-Administration fest, dass Nordkorea seine Cyberangriffe parallel zu seinem Atom- und Raketenprojekt intensiviert hat. Cyberdiebstahl, insbesondere Kryptowährungsdiebstähle und andere Angriffe, machen etwa die Hälfte der Einnahmen des Landes aus und finanzieren einen Großteil der Infrastruktur in Pjöngjang, der Hauptstadt Nordkoreas. Etwa 10.000 erfahrene Bedrohungsakteure arbeiten für Kim Jung-un, der finanzielle Anreize hat, um ihre erfolgreichen Cyberangriffe fortzusetzen.
Diese nordkoreanischen Operationen sind nicht neu, werden aber mit der Zeit und neuen Techniken zu einer immer größeren Bedrohung. 2019 schätzten die Vereinten Nationen (UN), dass das Land durch jahrelange Angriffe auf Banken und Kryptowährungen über 2 Milliarden US-Dollar angehäuft hat. Darüber hinaus wurde Nordkorea für die schädlichsten Raubüberfälle auf Kryptowährungen verantwortlich gemacht. Letztes Jahr stahl Nordkorea 620 Millionen Dollar von Sky Mavis' Ronin Network, und im Jahr 2020 wurden 281 Millionen Dollar von KuCoin beschlagnahmt. Da Nordkorea dieses System seit Jahren betreibt, haben sie sich ständig verändert und sind immer raffinierter geworden, um diese Finanzierung aufrechtzuerhalten. Die Vereinigten Staaten arbeiten derzeit mit ihren südkoreanischen Partnern und anderen Verbündeten zusammen, um das Bewusstsein dafür zu schärfen, dass dies geschah und noch geschieht.
(Quelle: InfoSecurity)
Lace Tempest, ein Ransomware-Hacker, hat eine Schwachstelle in den Downloads des MOVEit Transfer-Programms ausgenutzt. Cybersecurity- und Infrastruktursicherheitsbehörden warnten die Medien davor, die Zero-Day-SQL-Schwachstelle (CVE-2023-34362) zu nutzen, da Hacker einen Zugang ermöglichen könnten, über den sie Daten stehlen und sich als jemand anderes in der Datenbank ausgeben können. Cyberkriminelle wussten von der Schwachstelle in der Übertragungssoftware, bevor diese entfernt wurde und gepatcht werden konnte, was weiteren unbefugten Angreifern mehr Möglichkeiten eröffnete.
Bleeping Computer berichtete über fast 2.500 Fälle, die im Mai dieses Jahres durch den MOVEit-Transfer öffentlich gemacht wurden. Der Angriff war eher opportunistisch als auf einen bestimmten Benutzer gerichtet, da die Informationen sehr gefragt waren.
Eines der infizierten Systeme, "human2.aspx" im Ordner "wwwroot", blieb lange Zeit unentdeckt, da der Titel einer tatsächlichen Datei in der Benutzeroberfläche ähnelte.
Ein Unternehmen aus Massachusetts half bei der Behebung des Problems, indem es Patches für die folgenden gefährdeten Versionen bereitstellte: 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) und 2023.0.1 (15.0.1).
Administratoren sollten auf die "human2.aspx"-Dateien im Ordner "wwwroot" des MOVEit-Programms achten, alle Protokolldateien über einen längeren Zeitraum hinweg auswerten und Daten von nicht identifizierten IP-Adressen und Quellen analysieren, um eine Ausnutzung der Bedrohung zu erkennen. Es wird dringend empfohlen, dass Benutzer den Patch nutzen, um dieses Problem zu beheben und das Risiko zu verringern. Außerdem sollten Unternehmen alle HTTP- und HTTPS-Verbindungen deaktivieren, wenn sie den Patch nicht implementieren können.
Sobald eine Lösung implementiert ist, sollten die Sicherheitsteams Tests durchführen, um festzustellen, ob etwas gefährdet ist. Wenn dies der Fall ist, sollten sie die Kontoinformationen, die offengelegt wurden, zurücksetzen. Außerdem sollten alle Dateien mit dem Titel "human2.aspx" oder andere alarmierende Dateien genau analysiert und möglicherweise gelöscht werden.
(Quelle: TechRepublic)
Da sich neue KI-Technologien weiterentwickeln und die öffentliche Akzeptanz zunimmt, sehen Cyberkriminelle dies als Gelegenheit, Nutzer anzugreifen und Informationen zu erlangen. ChatGPT ist seit seinem Start im November letzten Jahres eine sehr beliebte Ressource, die natürliche Sprachverarbeitung und KI-Technologie nutzt, um Menschen den Zugang zu Informationen zu erleichtern und die Effizienz in Unternehmen zu steigern.
Da Cyberkriminelle eine neue Plattform für die Durchführung verschiedener Cyberangriffe sahen, stellt dies nun ein großes Sicherheitsrisiko für die Software-Lieferkette dar. Bedrohungsakteure haben "KI-Paket-Halluzinationen" über ChatGPT genutzt, um Schadcode-Pakete und Trojaner zu verbreiten, in der Hoffnung, sich in Anwendungen und Code-Repositories einzuschleichen.
Eine KI-Halluzination ist eine glaubwürdige Antwort des KI-Bots, die nicht korrekt ist. Dies liegt daran, dass generative KI-Plattformen wie ChatGBT ihre Antworten aus den im Internet verfügbaren Informationen bilden, was dazu führen kann, dass die Nutzer ungenaue Informationen übernehmen. Wenn dies geschieht, können böswillige Akteure eine Plattform wie ChatGBT nutzen, um bösartige und/oder unveröffentlichte Pakete zu empfehlen. Wenn Nutzer eine ähnliche Frage stellen, generiert der Bot unwissentlich das bösartige Paket, was ein Problem darstellt, da die Nutzer dem Chatbot vertrauen. Der Entwickler verfügt dann über eine bösartige Bibliothek, die in verschiedenen Anwendungen eingesetzt werden kann.
Einige gängige Praktiken für Entwickler, um schlecht codierte Bibliotheken zu erkennen, umfassen die Rechtfertigung der Bibliothek, die sie gerade heruntergeladen haben, die Einhaltung des richtigen Protokolls und den Versuch, einen hochqualifizierten Trojaner in der heruntergeladenen Bibliothek zu identifizieren. Einige Möglichkeiten, dies zu tun, sind die Überprüfung des Erstellungsdatums des Pakets, die Überprüfung der Interaktion mit dem Paket anhand der Anzahl der Downloads und Kommentare und die Überprüfung, ob dem Paket irgendwelche Notizen beigefügt sind.
(Quelle: DarkReading)