USA verhängen Sanktionen gegen APT31-Hacker, die es auf kritische Infrastruktur abgesehen haben
Das US-Finanzministerium hat Maßnahmen gegen ein in Wuhan ansässiges Unternehmen ergriffen, das vom chinesischen Ministerium für Staatssicherheit (MSS) für Cyberangriffe auf kritische Infrastruktureinrichtungen in den Vereinigten Staaten genutzt wird. Darüber hinaus hat das Office of Foreign Assets Control (OFAC) zwei chinesische Staatsbürger, Zhao Guangzong und Ni Gaobin, benannt, die mit der Hackergruppe APT31 in Verbindung stehen. Beide Personen wurden als Auftragnehmer der Wuhan Xiaoruizhi Science and Technology Company, Limited (Wuhan XRZ) identifiziert, einer MSS-Tarnfirma, die an den Angriffen beteiligt war, die als Bedrohung für die nationale Sicherheit der USA angesehen wurden. Dieser Schritt ist Teil einer Zusammenarbeit zwischen verschiedenen US-Behörden und dem United Kingdom Foreign, Commonwealth & Development Office (FCDO). Die sanktionierten Personen waren an mehreren Cyberoperationen beteiligt, darunter eine Spear-Phishing-Kampagne gegen die United States Naval Academy und das China Maritime Studies Institute des United States Naval War College. Das Vereinigte Königreich verhängte auch Sanktionen gegen Wuhan XRZ und die beiden APT31-Agenten wegen ihrer Beteiligung an Angriffen auf britische Parlamentarier, der Verletzung des Geheimdienstes GCHQ und der Kompromittierung der Systeme der britischen Wahlkommission.
Neuer ZenHammer-Speicherangriff wirkt sich auf AMD Zen-CPUs aus
ZenHammer, eine neuartige Variante des Rowhammer-DRAM-Angriffs, hat sich zu einer erheblichen Bedrohung für AMD-Zen-CPUs mit DDR4- und DDR5-Speicherchips entwickelt. Dieser von Forschenden der ETH Zürich entwickelte Angriff stellt die bisherige Vorstellung in Frage, dass AMD-Zen-Chips und DDR5-RAM weniger anfällig für Rowhammer-Schwachstellen sind. Durch die Ausnutzung der physikalischen Eigenschaften von DRAM können Angreifer Bit-Flips in Speicherzellen auslösen, die möglicherweise sensible Daten kompromittieren oder Privilegien ausweiten. Im Gegensatz zu früheren Demonstrationen, die in erster Linie auf Intel- und ARM-CPUs abzielten, stellt der ZenHammer einen bemerkenswerten Fortschritt bei der Ausrichtung auf AMDs Zen-Architektur dar. Durch das Reverse-Engineering von DRAM-Adressierungsfunktionen und die Implementierung von Synchronisationstechniken konnten die Forscher die technischen Herausforderungen im Zusammenhang mit AMD-Plattformen meistern. Während die Tests unterschiedliche Erfolgsquoten auf verschiedenen Plattformen ergaben, unterstreicht die Gesamtwirkung die Notwendigkeit für AMD-Benutzer, Software-Patches und Firmware-Updates anzuwenden oder Hardware mit spezifischen Rowhammer-Schutzmaßnahmen in Betracht zu ziehen. Als Reaktion auf ZenHammer hat AMD ein Security Bulletin herausgegeben, in dem Ratschläge zur Risikominderung gegeben und zugesagt werden, das Problem umgehend zu beheben.
StrelaStealer zielt auf 100+ US- und EU-Organisationen ab
Die StrelaStealer-Malware-Kampagne hat über hundert Unternehmen in den USA und Europa getroffen und zielt darauf ab, E-Mail-Anmeldeinformationen zu stehlen. Erstmals im November 2022 festgestellt, wurde eine polyglotte Dateiinfektionsmethode verwendet, um der Entdeckung zu entgehen. Während es in erster Linie auf spanischsprachige Nutzer abzielte, deuten jüngste Berichte von Unit42 von Palo Alto Networks auf eine Verschiebung hin zu US-amerikanischen und europäischen Zielen hin.
Die Malware verbreitet sich über Phishing-E-Mails, mit einem Anstieg im November 2023 und einer anhaltenden Aktivität bis ins Jahr 2024, die an manchen Tagen über 500 Angriffe erreicht. Die neueste Version verwendet ZIP-Anhänge zum Bereitstellen von JScript-Dateien, die sich aus der vorherigen . ISO-Dateimethode. Trotz Fortschritten wie der Verschleierung des Kontrollflusses bleibt seine Hauptfunktion die gleiche: das Stehlen von E-Mail-Anmeldungen.
Um sich vor solchen Bedrohungen zu schützen, sollten Benutzer bei unerwünschten E-Mails, insbesondere solchen, die Zahlungen oder Rechnungen beinhalten, Vorsicht walten lassen und das Herunterladen von Anhängen aus unbekannten Quellen vermeiden.
Neues Phishing-Kit zielt auf Microsoft 365 und Gmail mit MFA-Umgehung ab
Cyberkriminelle nutzen die Phishing-as-a-Service (PhaaS)-Plattform „Tycoon 2FA“ aus, um Microsoft 365- und Gmail-Konten unter Umgehung der Zwei-Faktor-Authentifizierung (2FA) ins Visier zu nehmen. Tycoon 2FA wurde erstmals im Oktober 2023 von den Analysten von Sekoia entdeckt und hat sich seitdem weiterentwickelt und zeigt eine erhöhte Aktivität und Raffinesse. Das Kit, das anderen AitM-Plattformen ähnelt, verwendet einen mehrstufigen Prozess, um Sitzungscookies zu stehlen, der es Angreifern ermöglicht, MFA-Mechanismen zu umgehen. Die neueste Version enthält erhebliche Änderungen, um die Phishing- und Umgehungsfunktionen zu verbessern. Über 1.800 Transaktionen in der zugehörigen Bitcoin-Wallet seit Oktober 2019 unterstreichen die beträchtliche Nutzerbasis der Plattform. Andere PhaaS-Plattformen, die in der Lage sind, den 2FA-Schutz zu umgehen, sind LabHost, Greatness und Robin Banks. Sekoia bietet ein Repository mit über 50 Kompromittierungsindikatoren (Indicators of Compromise, IoCs), die mit Tycoon 2FA-Operationen verbunden sind. Als Reaktion darauf betont Google die Wirksamkeit von Sicherheitsschlüsseln bei der Bekämpfung von Phishing-Angriffen und betont deren Überlegenheit gegenüber herkömmlichen 2FA-Methoden.
Ransomware-as-a-Service und die sich verändernde Dynamik des Dark Web
Die Ransomware-Landschaft entwickelt sich rasant weiter, was durch jüngste Entwicklungen wie die Entfernung des Blogs von LockBit, den Ausstieg von BlackCat und das Aufkommen kleinerer Ransomware-Gruppen belegt wird, was die komplexe Funktionsweise von Ransomware-Banden und ihren Partnern sowie die Verbreitung von Ransomware-as-a-Service (RaaS) als dominierendes Modell unterstreicht. RaaS-Gruppen konzentrieren sich auf die Entwicklung von Ransomware-Code und die Rekrutierung von Partnern, die Angriffe ausführen und im Gegenzug einen Anteil am Lösegeld erhalten. Der Wettbewerbscharakter bei der Gewinnung von Partnern hat die Innovation und den Wettbewerb zwischen Ransomware-Gruppen vorangetrieben, was zu jüngsten Verschiebungen im Ökosystem geführt hat. Strafverfolgungsmaßnahmen, wie die Abschaltung der Infrastruktur von LockBit und BlackCat , haben das Affiliate-Ökosystem gestört und möglicherweise zu einer Fragmentierung der Ransomware-Landschaft geführt. Trotz dieser Änderungen bleibt die Unternehmenssicherheit von größter Bedeutung, mit Empfehlungen wie einer umfassenden Überwachung auf gestohlene Anmeldeinformationen, dem rechtzeitigen Patchen von Schwachstellen und der Implementierung einer Multi-Faktor-Authentifizierung. Die Threat Exposure Management (TEM)-Lösung von Flare bietet proaktive Erkennung und Abwehr von Ransomware-Bedrohungen und liefert verwertbare Informationen zur Verbesserung der Sicherheitslage. Gesponsert und geschrieben von Flare.
Neuer Darcula-Phishing-Dienst zielt per iMessage auf iPhone-Nutzer ab
Wir stellen „Darcula“ vor, eine ausgeklügelte Phishing-as-a-Service (PhaaS)-Plattform, die 20.000 Domains nutzt, um sich als Marken auszugeben und Anmeldeinformationen von Android- und iPhone-Nutzern in 100+ Ländern zu sammeln. Im Gegensatz zu herkömmlichen Methoden nutzt Darcula Rich Communication Services (RCS) für Google Messages und iMessage anstelle von SMS, wodurch die wahrgenommene Legitimität von Phishing-Nachrichten verbessert wird. Darcula wurde mit modernen Technologien wie JavaScript und React entwickelt und bietet 200 anpassbare Phishing-Vorlagen, die sorgfältig mit lokaler Sprache, Logos und Inhalten erstellt wurden, um die Opfer zu täuschen. Trotz der Herausforderungen, die Plattformen wie iMessage mit sich bringen, umgeht Darcula die Beschränkungen, indem es die Empfänger anweist, zu antworten, bevor sie auf den Phishing-Link zugreifen. Die Untersuchung von Netcraft unterstreicht die alarmierende Verbreitung der Plattform und unterstreicht die Bedeutung der Wachsamkeit gegenüber verdächtigen Nachrichten über alle Kommunikationskanäle hinweg. Während sich Cyberkriminelle anpassen, müssen Benutzer vorsichtig und aufmerksam auf Anzeichen von Phishing-Versuchen achten, wie z. B. Grammatikfehler oder dringende Anfragen. Bleiben Sie informiert und bleiben Sie sicher.
Fazit
Da sich Cyberbedrohungen ständig weiterentwickeln, ist es für Unternehmen unerlässlich, beim Schutz ihrer sensiblen Daten und Infrastruktur immer einen Schritt voraus zu sein. Von ausgeklügelten Phishing-Schemata bis hin zu neuartigen Speicherangriffen erfordert die Landschaft proaktive Maßnahmen und robuste Sicherheitsstrategien.
Als Experten für Ransomware und Cybersicherheit wissen wir um die Dringlichkeit und Komplexität der Eindämmung dieser Bedrohungen. Unser Team bietet spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen an, um Unternehmen dabei zu unterstützen, die Folgen eines Angriffs zu bewältigen und ihre Abwehr gegen zukünftige Angriffe zu stärken. Wenn Ihr Unternehmen fachkundige Unterstützung benötigt, zögern Sie nicht, sich noch heute an uns zu wenden.
Schützen Sie Ihr Unternehmen mit unserem umfassenden Ransomware-Entschlüsselungsservice.