Webserver, die auf dem Windows Internet Information Service (IIS) laufen, werden angegriffen und zur Verbreitung von Malware ausgenutzt. Lazarus ist eine von der nordkoreanischen Regierung gesteuerte APT-Gruppe (Advanced Persistent Threat). Das ursprüngliche Ziel der Cybercrime-Bande war es, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Inzwischen konzentriert sich die Gruppe jedoch auf schwach geschützte und anfällige IIS-Server, kapert sie und verbreitet dann Malware. Der Hauptanreiz für das Eindringen in IIS-Server ist die mühelose Möglichkeit, mit der Angreifer Benutzer infizieren können, deren Dienste auf diesen kompromittierten Servern vertrauenswürdiger Organisationen gehostet werden. Vor kurzem infiltrierte Lazarus eine südkoreanische Finanzsicherheitssoftware mit einer kompromittierten Version von INISAFE CrossWeb EX V6. Um weiteren Zugriff auf das System zu erhalten, setzte Lazarus einen privilegierten Malware-Loader namens JuicyPotato ein. Dieses Tool gibt Angreifern die Möglichkeit, installierte Dateien zu entschlüsseln und im Speicher zu verarbeiten, während sie Antiviren-Scanner umgehen.
(Quelle: BleepingComputer)
Fünf Zero-Day-Schwachstellen (bezeichnet als TETRA:BURST) wurden vor kurzem in dem Notfunk-Sprach- und DatenspeicherdienstTerrestrial Trunked Radio (TETRO) entdeckt. TETRO wird von Strafverfolgungsbehörden, Feuerwehren und dem Militär auf der ganzen Welt genutzt. Die Kanäle des Systems bieten eine eindeutige Schlüsselverwaltung, Sprach- und Datenverschlüsselung. Der TETRA-Verschlüsselungsalgorithmus (TEA1) verwendet die verschlüsselten Algorithmen und überträgt sie über das TETRO-Netz. Midnight Blue Labs hat diese fünf Schwachstellen entdeckt, von denen zwei kritisch sind.
Die beiden kritischen Schwachstellen ermöglichen es Angreifern, Strafverfolgungsbehörden zu überwachen, Gespräche zu belauschen, ohne dass dies auffällt, und die Kommunikation kritischer Infrastrukturen zu verändern. CVE-2022-24401 ermöglicht es Angreifern, alle verschlüsselten Nachrichten zu empfangen, die an ein Funkgerät gesendet werden, indem sie diesen Kanal anvisieren. CVE-2022-24402 betrifft den TEA1-Algorithmus, der einen 80-Bit-Schlüssel verwendet. Wenn ein Angreifer einen Brute-Force-Angriff auf diesen 80-Bit-Schlüssel durchführt, können alle Gespräche unentdeckt abgehört werden.
(Quelle: DarkReading)
Ein neuer KI-Bot namens FraudGPT wurde mit demselben Angreifer in Verbindung gebracht, der Anfang des Monats WormGPT entwickelt hat. Wie WormGPT kann auch FraudGPT im Dark Web für Spear-Phishing-E-Mails, Cracking-Tools und Carding erworben werden. FraudGPT ist jedoch für kurzfristige und groß angelegte Angriffe wie Phishing gedacht, während WordGPT für langfristige Angriffe mit Malware und Ransomware verwendet wird. Andere Bedrohungsakteure können davon profitieren, wenn sie ein Abonnement für das Tool bezahlen. Wenn sie es kaufen, lernen sie damit, wie sie eine extrem glaubwürdig aussehende E-Mail mit bösartigen Links präsentieren können.
(Quelle: SCMagazine)
Eine schwerwiegende Schwachstelle im Mikrotik RouterOS-Betriebssystem, die erstmals im Juni 2022 entdeckt wurde, betrifft weiterhin Geräte. Die schwerwiegende Sicherheitslücke CVE-2023-30799 von Mikrotik ermöglicht es entfernten Angreifern, ihre Admin-Konten unbemerkt zu Super-Admin-Konten zu erweitern. Angreifer können die volle Kontrolle über das gesamte RouteOS-Betriebssystem erlangen und den Codepfad ohne Aussetzung ändern. Diese Schwachstelle, die bereits auf 926.000 Geräten entdeckt wurde, soll für Angreifer, die ein Netzwerk jailbreaken und das Betriebssystem ändern wollen, besonders verlockend sein. Die Hacker benötigen einen Admin-Zugang, um einzudringen, aber das System ist so vorprogrammiert, dass es einen Admin-Zugang hat. Mikrotik rät Nutzern, auf die neueste Version von RouterOS zu aktualisieren, da sie nicht glauben, dass dies das Ende des Angriffs ist.
(Quelle: TheHackerNews)
Die Hackergruppe Lazarus, über die in diesem Blog bereits berichtet wurde, weil sie in die Webserver von Microsoft eingedrungen ist, hat gerade eine weitere erfolgreiche Kampagne durchgeführt. Die nordkoreanische Gruppe stahl 60 Millionen Dollar von dem Kryptowährungsanbieter Alphapo. Zunächst erbeutete die Gruppe 23 Millionen Dollar von dem Zahlungsanbieter und erwarb später 37 Millionen Dollar in TRON und BTC. Lazarus verleitet Mitarbeiter von Kryptounternehmen dazu, bösartige Dateien zu öffnen, ihre Systeme zu infizieren und die Zugangsdaten zu ihren Konten zu verlieren. Lazarus hat in den letzten zwei Jahren erfolgreich 617 Millionen Dollar aus dem Axie Infinity-Raub, 35 Millionen Dollar aus dem Atomic Wallet-Raub und 100 Millionen Dollar aus dem Harmony Horizon-Angriff gestohlen.
(Quelle: BleepingComputer)
