Neuer spekulativer Ausführungsangriff zielt auf die Speicher-Tagging-Erweiterung von ARM ab
Forscher haben einen neuen spekulativen Ausführungsangriff namens „TIKTAG“ identifiziert, der die Memory Tagging Extension (MTE) von ARM kompromittiert. Dieser Angriff, der eine Erfolgsquote von über 95 % aufweist, umgeht effektiv die MTE-Sicherheitsfunktion, die eine Speicherbeschädigung verhindern soll. Die Studie, die von einem Team von Samsung, der Seoul National University und dem Georgia Institute of Technology durchgeführt wurde, zeigt, wie TIKTAG sowohl den Linux-Kernel als auch Google Chrome ausnutzen kann. MTE, das in die ARM v8.5-A-Architektur integriert ist, verwendet Tagging mit geringem Overhead, um den Speicherzugriff zu sichern, aber TIKTAG verwendet spekulative Ausführung, um diese Tags zu verlieren. Insbesondere nutzen TIKTAG-v1- und TIKTAG-v2-Gadgets das Verhalten der Verzweigungsvorhersage bzw. des Speicher-zu-Laden-Weiterleitungsverhaltens aus. Obwohl undichte Tags sensible Daten nicht direkt offenlegen, untergraben sie die Schutzmaßnahmen von MTE. Obwohl die Sicherheitsteams von ARM und Chrome das Problem erkannt haben, haben sie sofortige Korrekturen nicht priorisiert und betont, dass die offengelegten Tag-Werte die Grundprinzipien der Architektur nicht beeinträchtigen.
Velvet Ant-Hacker nutzen F5 BIG-IP-Appliances aus, um Daten zu stehlen
Eine Cyberspionagegruppe namens „Velvet Ant“, die mutmaßlich chinesisch ist, verwendet seit Jahren benutzerdefinierte Malware, um F5 BIG-IP-Appliances zu kompromittieren, sich langfristigen Zugriff auf interne Netzwerke zu verschaffen und Daten zu exfiltrieren. Laut einem Sygnia-Bericht nutzte Velvet Ant veraltete F5 BIG-IP-Geräte innerhalb des Netzwerks des Opfers, um mehrere Einstiegspunkte einzurichten. Auf diesen Geräten, die für kritische Funktionen wie Lastausgleich und Firewalling verwendet wurden, liefen anfällige Betriebssystemversionen und sie wurden mit bekannten Fehlern bei der Remotecodeausführung ausgenutzt. Die Angreifer installierten verschiedene Malware, darunter PlugX und PMCD, die es ihnen ermöglichten, ihre Aktivitäten mit legitimem Datenverkehr zu vermischen, was die Erkennung erschwerte. Trotz der Bemühungen, die Malware zu beseitigen, hat Velvet Ant sie mit neuen Konfigurationen erneut bereitgestellt. Der Angriff unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen, einschließlich regelmäßiger Updates, strenger Management-Port-Kontrollen und verbesserter Sicherheit von Edge-Geräten. F5 empfiehlt, die neuesten Softwareversionen auszuführen und Diagnosetools zu verwenden, um eine optimale Systemsicherheit und -leistung zu gewährleisten.
Panera Bread zahlte wahrscheinlich Lösegeld bei Ransomware-Angriff im März
Panera Bread, eine bekannte amerikanische Fast-Food-Kette, soll nach einem Ransomware-Angriff im März ein Lösegeld gezahlt haben, wie aus internen Mitteilungen hervorgeht. Letzte Woche informierte das Unternehmen die Mitarbeiter, dass persönliche Informationen, einschließlich Namen und Sozialversicherungsnummern, gestohlen wurden. Der Ransomware-Angriff, bei dem alle virtuellen Maschinen verschlüsselt wurden, verursachte eine einwöchige Unterbrechung, die die Website, die Telefonsysteme, die mobile App, den Point-of-Sale und die internen Systeme von Panera betraf. Obwohl keine Ransomware-Bande die Verantwortung übernahm oder die gestohlenen Daten durchsickern ließ, deutet das Fehlen solcher Aktivitäten darauf hin, dass ein Lösegeld gezahlt wurde. Ein angeblicher Mitarbeiter auf Reddit bestätigte, dass Panera die Hacker bezahlt hat, um die Veröffentlichung von Daten zu verhindern. Diese Behauptung wurde durch eine interne E-Mail von Senior Vice President KJ Payette gestützt, in der es heißt, dass Panera die Zusicherung erhalten habe, dass die gestohlenen Daten gelöscht würden. Selbst bei Lösegeldzahlungen gibt es jedoch keine Garantie dafür, dass Bedrohungsakteure die Daten nicht aufbewahren oder missbrauchen, wie bei früheren Vorfällen mit anderen Unternehmen zu sehen war.
Vernichtender Bericht über Cyberangriff auf Medibank hebt nicht durchgesetzte MFA hervor
Ein kürzlich veröffentlichter Bericht des australischen Informationskommissars zeigt, dass Fehlkonfigurationen und verpasste Warnungen es einem Hacker ermöglichten, in die Medibank einzudringen und Daten von über 9 Millionen Personen zu stehlen. Im Oktober 2022 kündigte die australische Krankenversicherung Medibank einen Cyberangriff an, der ihren Betrieb störte und zum Diebstahl von Kundendaten, einschließlich Gesundheitsansprüchen, führte. Der Einbruch, von dem 9,7 Millionen Menschen betroffen waren, wurde später mit der BlogXX-Ransomware-Bande, einem Ableger der REvil-Bande, in Verbindung gebracht und auf den russischen Staatsbürger Alexander Gennadijewitsch Ermakow zurückgeführt.
Das Office of the Australian Information Commissioner (OAIC) stellte fest, dass die Medibank von März 2021 bis Oktober 2022 personenbezogene Daten nicht angemessen geschützt hat. Der Verstoß begann, als ein Auftragnehmer der Medibank die Anmeldeinformationen des Unternehmens in einem persönlichen Browser speicherte, die später über Malware auf dem Heimcomputer des Auftragnehmers gestohlen wurden. Der Hacker nutzte diese Anmeldeinformationen, um auf den Microsoft Exchange-Server und das VPN der Medibank zuzugreifen und das Fehlen einer erzwungenen Multi-Faktor-Authentifizierung (MFA) auszunutzen.
Das Versäumnis der Medibank, MFA zu implementieren, ermöglichte es dem Angreifer, sich seitlich innerhalb des Netzwerks zu bewegen und 520 GB sensibler Daten zu stehlen. Darüber hinaus löste die Endpoint Detection and Response (EDR)-Software des Unternehmens im August 2022 Warnungen aus, die nicht richtig behoben wurden. Der Verstoß wurde erst Mitte Oktober bei der Untersuchung eines anderen Vorfalls entdeckt.
Dieser Fall unterstreicht die entscheidende Bedeutung von MFA für den Schutz von Anmeldeinformationen und die Sicherung von VPN-Gateways, die häufig von Ransomware-Banden angegriffen werden, um Netzwerkzugriff zu erhalten.
ONNX-Phishingdienst zielt auf Microsoft 365-Konten bei Finanzunternehmen ab
ONNX Store, eine neue Phishing-as-a-Service (PhaaS)-Plattform, zielt auf Microsoft 365-Konten von Mitarbeitern des Finanzsektors ab, indem QR-Codes in PDF-Anhängen verwendet werden. Diese Plattform, die mit dem arabischsprachigen Bedrohungsakteur MRxC0DER verbunden ist, verwendet Telegram-Bots und umgeht die Zwei-Faktor-Authentifizierung (2FA).
Seit Februar 2024 handelt es sich bei ONNX-Angriffen um Phishing-E-Mails mit PDF-Anhängen mit bösartigen QR-Codes. Diese E-Mails geben sich als Personalabteilungen aus und verwenden Gehaltsaktualisierungen, um Opfer zu ködern. Durch das Scannen des QR-Codes werden Benutzer auf Phishing-Seiten weitergeleitet, die die Anmeldeoberfläche von Microsoft 365 nachahmen, auf denen Anmeldeinformationen und 2FA-Token gestohlen und in Echtzeit an Angreifer weitergeleitet werden.
ONNX arbeitet über Telegram und bietet anpassbare Phishing-Vorlagen und verschlüsseltes JavaScript, um der Erkennung zu entgehen. Es nutzt Cloudflare-Dienste für den Domain-Schutz und bietet kugelsicheres Hosting und RDP-Dienste (Remote Desktop Protocol) für ein sicheres Kampagnenmanagement.
ONNX bietet Abonnementstufen von 150 bis 400 US-Dollar pro Monat mit Funktionen wie echter Anmeldung, Einmalpasswörtern und erweitertem 2FA-Cookie-Diebstahl.
Um diesen Angriffen entgegenzuwirken, sollten Administratoren nicht verifizierte PDF- und HTML-Anhänge blockieren, den Zugriff auf Websites mit nicht vertrauenswürdigen Zertifikaten einschränken und FIDO2-Hardware-Sicherheitsschlüssel implementieren. EclecticIQ bietet YARA-Regeln zur Erkennung bösartiger PDFs mit Phishing-QR-Codes.
UNC3886 Hacker verwenden Linux-Rootkits, um sich auf VMware ESXi-VMs zu verstecken
Der chinesische Bedrohungsakteur UNC3886 hat Open-Source-Rootkits wie „Reptile“ und „Medusa“ verwendet, um auf virtuellen VMware ESXi-Maschinen verborgen zu bleiben, was den Diebstahl von Anmeldeinformationen, die Ausführung von Befehlen und laterale Bewegungen ermöglicht. Nach Angaben des Cybersicherheitsunternehmens Mandiant nutzte UNC3886 die Zero-Day-Schwachstellen von Fortinet und VMware aus, um in verschiedene Sektoren einzudringen, darunter Behörden, Telekommunikation und Technologie.
UNC3886 verwendeten Reptile, ein Kernel-Modul, das Stealth- und Backdoor-Zugriff ermöglicht, und Medusa, das Anmeldeinformationen und Befehle protokolliert. Diese Rootkits ermöglichten es dem Bedrohungsakteur, eine langfristige Persistenz auf kompromittierten Systemen aufrechtzuerhalten.
Darüber hinaus UNC3886 benutzerdefinierte Malware-Tools eingesetzt:
- Mopsled: Eine Hintertür, die auf vCenter-Servern verwendet wird.
- Riflespine: Nutzung von Google Drive für Befehl und Kontrolle.
- Lookover: Erfassen von TACACS+-Anmeldeinformationen.
- Backdoored SSH-Führungskräfte: Erfassen und Verschlüsseln von Anmeldeinformationen.
- VMCI-Backdoors: Aktivieren der Kommunikation zwischen Gast- und Host-VMs.
Der Bericht von Mandiant enthält Indikatoren für Kompromittierungen und YARA-Regeln, um UNC3886 Aktivitäten zu erkennen. Weitere Details zu VMCI-Backdoors werden in zukünftigen Updates erwartet.
Globaler CDK-Ausfall durch BlackSuit-Ransomware-Angriff
Die BlackSuit-Ransomware-Bande ist für den massiven IT-Ausfall bei CDK Global verantwortlich, der Autohäuser in ganz Nordamerika störte. Quellen deuten darauf hin, dass CDK mit der Ransomware-Bande über einen Entschlüsseler verhandelt und Datenlecks verhindern soll.
Der Angriff veranlasste CDK, seine IT-Systeme, einschließlich seiner Autohausplattform, abzuschalten, um die Ausbreitung einzudämmen. Ein Versuch der Wiederherstellung führte zu einem zweiten Vorfall, der eine weitere Abschaltung verursachte. Die SaaS-Plattform von CDK unterstützt wichtige Autohausbetriebe. Als die Plattform ausgefallen war, griffen die Händler auf Stift und Papier zurück, was sich auf Autokäufe und -dienstleistungen auswirkte.
Große Händler wie die Penske Automotive Group und Sonic Automotive meldeten Störungen und setzten Pläne zur Aufrechterhaltung des Geschäftsbetriebs um. CDK hat vor Bedrohungsakteuren gewarnt, die sich als CDK-Agenten ausgeben, um unbefugten Zugriff zu erhalten.
BlackSuit Ransomware, von der angenommen wird, dass es sich um eine Umbenennung der Royal-Ransomware handelt, wurde im Mai 2023 gestartet. Royal Ransomware gilt als Nachfolger des Conti-Cybercrime-Syndikats. Das FBI und die CISA verknüpften Royal und BlackSuit und stellten ähnliche Taktiken und Überschneidungen bei der Codierung fest. Das Advisory brachte Royal mit Angriffen auf über 350 Organisationen und mehr als 275 Millionen US-Dollar an Lösegeldforderungen in Verbindung.
Fazit
Zusammenfassend lässt sich sagen, dass die Cyberlandschaft mit verschiedenen Bedrohungen behaftet ist, von Zero-Day-Schwachstellen bis hin zu Ransomware-Angriffen und Phishing-Kampagnen. Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um sensible Daten zu schützen.
Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.